Von Heinrich Vaske

Die unter der Bezeichung CVE-2025-53770 aufgetauchte kritische Zero-Day-Schwachstelle in Microsoft SharePoint Server hält IT-Sicherheitsteams in Atem. Hier die Details.

Zuerst entdeckte die SOC-Analystin Ilse Versluis von Eye Security die Sicherheitslücke in der On-Premises-Version von Microsofts SharePoint Server – und zwar am 18. Juli 2025. Zu diesem Zeitpunkt war auch schon klar, dass die Schwachstelle, die Remote Code Execution (RCE) ohne Authentifizierung ermöglicht, bereits von Angreifern ausgenutzt wird. Das Problem wurde mit einem CVSS-Score von 9.8 eingestuft, ist also „kritisch“.

Dabei ist die Sicherheitslücke gar nicht so neu: Es handelt sich letztendlich um die Kombination eines Authentifizierungs-Bypasses (CVE-2025-49704) mit einer unsicheren Deserialisierungs-Schwachstelle (CVE-2025-53770, RCE). Dieses Problem war bereits im Mai 2025 unter anderem auf der Berliner Security-Veranstaltung Pwn2Own öffentlich diskutiert worden. Die jetzt ausnutzbare Exploit-Kette wird in der Szene als „ToolShell“ bezeichnet.

Konkret kombinieren Angreifer eine Spoofing-Lücke mit einer Deserialisierungs-Schwachstelle, um vollautomatisierte Attacken vornehmen zu können. Besonders perfide: Bereits gepatchte Systeme bleiben weiter verwundbar, wenn nicht zusätzliche Maßnahmen wie Machine Key Rotation greifen. Das heißt, kryptografische Schlüssel, die aus Sicherheitsgründen von Systemen verwendet werden, müssen regelmäßig ausgetauscht werden.

Das ist bisher passiert:

• Mai 2025: Exploit-Kette wird bei Pwn2Own öffentlich gemacht.
• 9. Juli: Microsoft bringt erste Patches für CVE-2025-49704/49706.
• 18. Juli: Eye Security entdeckt umfassende Exploits in freier Wildbahn.
• 19.-21. Juli: Microsoft und verschiedene Computer Emergency Response Teams (CERTs) bestätigen die Angriffe und veröffentlichen Notfall-Patches.

Microsoft schreibt die bisherigen Angriffe chinesischen Akteuren zu, darunter den staatlich protegierten Gruppen „Linen Typhoon“ und „Violet Typhoon“ sowie der gerüchteweise ebenfalls in China ansässigen Gruppe „Storm­2603“. Deren Ziel sei es, über ungepatchte, lokal genutzte SharePoint-Systeme (2016, 2019, Subscription Edition) Ran­somware zu verbreiten.

So sollten Unternehmen vorgehen

Patch-Management: Sämtliche Notfall-Patches ab dem 21. Juli müssen unverzüglich installiert werden. Der Patch von Anfang Juli reicht nicht aus – erst die jüngsten Updates adressieren die Bypässe vollständig.

Machine Key Rotation: Nach der Bereinigung muss unbedingt der Machine Key getauscht werden, da sich Angreifer sonst weiterhin Zugriff verschaffen können, auch nach erfolgtem Patch.

Sicherheitsüberwachung: Intensives Monitoring, die Analyse der Log-Daten und eine gezielte Suche nach typischen Indikatoren für eine Kompromittierung (zum Beispiel spinstall0.aspx oder ungewöhnliche Prozesse) sind Pflicht.

Netzwerksegmentierung und WAF/IDS: Exponierte Server sollten so weit wie möglich isoliert und zusätzliche Schutzmechanismen aktiviert werden.

Incident Response: IT-Sicherheitsverantwortliche sollten ihre Notfallpläne und forensischen Werkzeuge bereithalten. Es geht darum, Systeme, die kompromittiert sein könnten, umgehend zu isolieren.

Grundsätzlich gilt, dass es sich hier um ein Grundproblem der On-Premises-Varianten von SharePoint Server handelt, das auch in Zukunft immer wieder ausgenutzt werden dürfte. Einzelne Patches reichen zur Schadensbehebung nur bedingt aus. IT-Teams sollten lieber eine Migration zu SharePoint Online/Microsoft 365 erwägen. Außerdem empfiehlt es sich, Zero-Trust-Konzepte mit striktem Monitoring (endlich) ernsthaft in Betracht zu ziehen. Darüber hinaus sollten die Backup-Strategien so robust sein, dass nach einem Ransomware-Befall eine schnelle Wiederherstellung möglich ist.

Fazit

Die Bedrohungslage für On-Premises-SharePoint-Server bleibt kritisch. CVE-2025-53770 ist ein Paradebeispiel dafür, dass Unternehmen in ihrer Verteidigungsstrategie nicht stehen bleiben dürfen. Sie müssen kontinuierlich anpassungsfähig sein. Patches sind wichtig, reichen aber meist nicht aus. Es geht um eine nachhaltige Modernisierung der Infrastruktur und proaktives Sicherheitsmanagement.