wir möchten Sie auf eine aktuell ausgenutzte Sicherheitslücke in Microsoft SharePoint aufmerksam machen, die erhebliche Risiken für ausschließlich lokal („On-Premises“) betriebene Systeme birgt.
Die US-Cybersicherheitsbehörde CISA sowie Microsoft selbst berichten von aktiven Angriffen auf Systeme, die die Schwachstelle CVE-2025-53770 ausnutzen – auch bekannt unter dem Namen „ToolShell“. Im Folgenden finden Sie einen Überblick über den Vorfall sowie konkrete Maßnahmen, mit denen Sie Ihre Systeme absichern können.
Was ist passiert?
Die Sicherheitslücke CVE-2025-53770 erlaubt es Angreifern, ohne Anmeldung („unauthenticated“) auf SharePoint-Server zuzugreifen und darüber beliebigen Code über das Netzwerk (= RCE → Remote Code Execution) auszuführen. Sie ist eine Variante der bereits bekannten Schwachstelle CVE-2025-49706 und beruht auf einer fehlerhaften Deserialisierung – einem technischen Prozess, bei dem Daten in ein lesbares Format umgewandelt werden. Wird dies unzureichend abgesichert, kann Schadcode eingebracht und ausgeführt werden.
Die Angreifer können auf diesem Weg vollständigen Zugriff auf den Server und dann auf die dahinterliegende Infrastruktur erhalten, einschließlich der Dateiablage, Konfiguration und sensibler Inhalte. Der Vorfall betrifft ausschließlich lokale SharePoint-Installationen – SharePoint Online (Microsoft 365) ist laut Microsoft nicht betroffen.
Was ist betroffen?
Die Sicherheitslücke betrifft nur Unternehmen, die Microsoft SharePoint lokal (On-Premises) betreiben.
Konkret gefährdet sind folgende Versionen:
Nicht betroffen ist die Cloud-Version SharePoint Online, die über Microsoft 365 läuft.
Besonders kritisch ist die Lage, wenn betroffene Server direkt über das Internet erreichbar sind und wichtige Schutzmaßnahmen oder Updates fehlen.
Wie kann ich mich schützen?
IT-Verantwortliche sollten insbesondere folgende Angriffsmuster prüfen: