21.07.2025

Kritische Sicherheitslücke in Microsoft SharePoint

wir möchten Sie auf eine aktuell ausgenutzte Sicherheitslücke in Microsoft SharePoint aufmerksam machen, die erhebliche Risiken für ausschließlich lokal („On-Premises“) betriebene Systeme birgt.

Die US-Cybersicherheitsbehörde CISA sowie Microsoft selbst berichten von aktiven Angriffen auf Systeme, die die Schwachstelle CVE-2025-53770 ausnutzen – auch bekannt unter dem Namen „ToolShell“. Im Folgenden finden Sie einen Überblick über den Vorfall sowie konkrete Maßnahmen, mit denen Sie Ihre Systeme absichern können.

Was ist passiert?

Die Sicherheitslücke CVE-2025-53770 erlaubt es Angreifern, ohne Anmeldung („unauthenticated“) auf SharePoint-Server zuzugreifen und darüber beliebigen Code über das Netzwerk (= RCE → Remote Code Execution) auszuführen. Sie ist eine Variante der bereits bekannten Schwachstelle CVE-2025-49706 und beruht auf einer fehlerhaften Deserialisierung – einem technischen Prozess, bei dem Daten in ein lesbares Format umgewandelt werden. Wird dies unzureichend abgesichert, kann Schadcode eingebracht und ausgeführt werden.

Die Angreifer können auf diesem Weg vollständigen Zugriff auf den Server und dann auf die dahinterliegende Infrastruktur erhalten, einschließlich der Dateiablage, Konfiguration und sensibler Inhalte. Der Vorfall betrifft ausschließlich lokale SharePoint-InstallationenSharePoint Online (Microsoft 365) ist laut Microsoft nicht betroffen.

Was ist betroffen?

Die Sicherheitslücke betrifft nur Unternehmen, die Microsoft SharePoint lokal (On-Premises) betreiben.

Konkret gefährdet sind folgende Versionen:

  • SharePoint Server 2016
  • SharePoint Server 2019
  • SharePoint Subscription Edition (wenn nicht gepatcht)

 

Nicht betroffen ist die Cloud-Version SharePoint Online, die über Microsoft 365 läuft.

Besonders kritisch ist die Lage, wenn betroffene Server direkt über das Internet erreichbar sind und wichtige Schutzmaßnahmen oder Updates fehlen.

Wie kann ich mich schützen?

  1. Sicherheitsupdates installieren: Microsoft hat inzwischen Patches für SharePoint 2019 (Patch mit der Kennung KB5002754) , und die Subscription Edition (Patch mit der Kennung KB 5002768) veröffentlicht. Für SharePoint 2016 ist das Sicherheitsupdate aktuell noch in Arbeit. Hier empfiehlt es sich, bis zur Veröffentlichung des Updates sofortige Schutzmaßnahmen (siehe unten) zu ergreifen und gleichzeitig die Juli-Sicherheitsupdates von Microsoft zu installieren. 

 

  1. Machine Keys rotieren: Nach dem Einspielen der Updates müssen die sogenannten ASP.NET Machine Keys erneuert werden. Diese Schlüssel sind essentiell für die sichere Kommunikation zwischen Systemkomponenten. Die Rotation erfolgt per PowerShell oder über die SharePoint-Zentraladministration. Anschließend ist ein Neustart des IIS-Webservers erforderlich.

  2. Antimalware Scan Interface (AMSI) aktivieren: AMSI erkennt und blockiert verdächtige Skripte zur Laufzeit. Stellen Sie sicher, dass AMSI korrekt aktiviert ist. Dieses sollte standardmäßig seit September 2023 aktiviert sein.

  3. Microsoft Defender Antivirus und Defender for Endpoint einsetzen: Diese Sicherheitslösungen erkennen bekannte Angriffsmuster und blockieren entsprechende Aktivitäten. Alternativ können vergleichbare Endpoint-Detection- und -Response-Lösungen (EDR) eingesetzt werden.

  4. Notfalls Systeme vom Netz trennen (falls AMSI nicht aktivierbar ist): Wenn AMSI nicht aktiviert werden kann, empfiehlt CISA, öffentliche Systeme vorübergehend vom Internet zu trennen.

  5. Logging & Monitoring sicherstellen: Aktivieren Sie umfassende Protokollierung (Event Logging), um ungewöhnliches Verhalten nachzuvollziehen. Überwachen Sie insbesondere POST-Anfragen an verdächtige Pfade.

Von Experten für Experten:

IT-Verantwortliche sollten insbesondere folgende Angriffsmuster prüfen:

  • Vorhandensein der Datei: /_layouts/15/ToolPane.aspx?DisplayMode=Edit
  • Zugriffe von folgenden IP-Adressen: 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147
    (insbesondere zwischen dem 18. und 19. Juli 2025)
  • Warnmeldungen in Microsoft Defender wie:
    „Possible web shell installation“
    „Suspicious IIS worker process behavior“
    „HijackSharePointServer“ oder „SuspSignoutReq“-Malware erkannt