Seit dem 18. Juli 2025 werden weltweit SharePoint-Server über die zum 14. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 angegriffen. Aber es gibt eine weitere 0-day-Schwachstelle CVE-2025-53770 (eine Variante von CVE-2025-49706), die bisher ungepatcht war (CVSS 3.1 9.8), die auch angegriffen wird. Hier noch einige Informationen zum Notfall-Update und die Implikationen, die sich für einem per Internet erreichbaren SharePoint-Server ergeben. Auch hier ist es wieder ein "Work in Progress", d.h. der Artikel wird ggf. mehrfach ergänzt.
Kurzer Rückblick auf das Thema
Seit vorigen Freitag, den 18. Juli 2025, beobachten diverse Sicherheitsfirmen massive Angriffsversuche auf Microsoft SharePoint-Server, die per Internet erreichbar waren. Unklar war zu diesem Zeitpunkt, was genau das Ziel war bzw. es genau an Schwachstellen ausgenutzt werden sollte. Es war von einem ToolShell-Angriff die Rede, und es wurden diverse Schwachstellen genannt.
- Der für Angriffe verwendete Exploit nutzt laut diversen Berichten die Schwachstellen CVE-2025-49704 und CVE-2025-49706. Diese waren seit Mai 2025 von der Pwn2Own in Berlin bekannt, aber am 8. Juli 2025 per Sicherheitsupdate gepatcht worden.
- Später gab es die Erkenntnis, dass ein 0-day-Exploit für Angriffe genutzt wurde, der zwei bisher öffentlich nicht bekannte Schwachstellen CVE-2025-53770 und CVE-2025-53771 kombiniert. Hier gab es keinen Sicherheitsupdates zum Schließen der Schwachstellen.
Meinen Informationen nach sind über 85 Infektionen von SharePoint-Servern diverser Organisationen weltweit bekannt. Microsoft hatte zum 19. Juli 2025 bereits einen Beitrag zur Schwachstelle CVE-2025-53770 publiziert, initial aber keinen Patch angeboten.
Schutz vor der Schwachstelle war einmal, die SharePoint-Server vom Internet zu isolieren. Zudem schrieb Microsoft, dass Kunden, die die AMSI-Integrationsfunktion aktiviert haben und den Microsoft Defender für ihre SharePoint Server-Farm(s) verwenden, vor dieser Sicherheitslücke geschützt seien.
Es gibt einen Notfall-Patch
Microsoft hat zum 19. / 20. Juli 2025 Notfall-Patches für einzelne SharePoint-Server-Versionen veröffentlich. Details habe ich im Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen nachgetragen. Stand 21. Juli 2025, 18:14 Uhr, weist die Microsoft Seite für die Schwachstelle CVE-2025-53770 aber noch keinen Patch für Microsoft SharePoint Server 2016 aus.
Die Implikationen aus dem Vorfall
Tenable hat sich im Nachgang vor wenigen Minuten bei mir gemeldet und einige weitere Informationen nachgeliefert. Deren Einschätzung lautet, dass die aktive Ausnutzung der SharePoint Zero-Day-Schwachstelle am vergangenen Wochenende für betroffene Unternehmen weitreichende Folgen haben dürfte.
Denn die Angreifer konnten die inzwischen als CVE-2025-53770 identifizierte Schwachstelle ausnutzen, um MachineKey-Konfigurationsdetails von verwundbaren SharePoint Servern abzugreifen. Darunter befindet sich sowohl der validationKey als auch der decryptionKey.
Diese Informationen ermöglichen es Angreifern, speziell präparierte Anfragen zu generieren, die potenziell zu nicht authentifizierter Remote Code Execution auf den betroffenen SharePoint-Servern führen können. Man sieht dann in den Log-Dateien nichts.
Unternehmen, die möglicherweise betroffen sind, bleibt in dieser Situation nur, aktiv nach Hinweisen auf eine Kompromittierung (Indicators of Compromise; IoC) zu suchen. Zu den IoCs zählt insbesondere eine Datei namens spinstall0.aspx, die auf den angegriffenen Systemen erstellt wurde. Dabei gibt es gegebenenfalls eine abweichende Dateierweiterung.
Laut Tenable ist die Angriffsfläche dieser Schwachstelle beträchtlich: Über 9.000 SharePoint Instanzen sind weltweit direkt aus dem Internet erreichbar. Diese Instanzen kommen in den unterschiedlichsten Unternehmen zum Einsatz.
Auch Tenable bestätigt, was ich im Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen schrittweise aufbereitet hatte: Microsoft hat zwar am späten 20. Juli mit der Bereitstellung von Sicherheitsupdates begonnen. Es gibt aber nur Patches für SharePoint Server 2019 sowie die SharePoint Subscription Edition. Ein Patch für SharePoint Server 2016 steht aktuell noch aus, soll jedoch in Kürze folgen.
Die Sicherheitsexperten von Tenable raten Unternehmen dringend, umgehend Incident-Response-Maßnahmen einzuleiten, um mögliche Kompromittierungen zu identifizieren. Wo noch keine Angriffe festgestellt wurden, sollten die verfügbaren Sicherheitsupdates installiert und die von Microsoft empfohlenen Behebungsmaßnahmen umgesetzt werden, schreibt Tenable.
Für interessierte Leser: Tenable hat mir noch den Link auf deren Blog-Beitrag CVE-2025-53770: Frequently Asked Questions About Zero-Day SharePoint Vulnerability Exploitation geschickt. Der Beitrag bestätigt, was ich bereits in meinem Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen zusammen getragen hat, kann aber als ergänzende Sichtweise aus einem zweiten Blickwinkel benutzt werden.
Ähnliche Artikel:
Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen
SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 100 Organisationen kompromittiert
MVP: 2013 – 2016
Das witzige kommt zum Schluß?
'Microsoft SharePoint Server 2016 > Security Updatelink "Not available yet"'
Beim 2019 Link (https://www.microsoft.com/en-us/download/details.aspx?id=108286) unter System Requirments "Supported Operating Systems Windows Server 2016, Windows Server 2019, Windows Server 2022"
:-D
Die Updates patchen auch CVE-2025-53771. Wichtige Hinweise finden sich im Customer guidance for SharePoint vulnerability CVE-2025-53770:
msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770
Betrifft das auch Installationen die nicht von extern erreichbar sind und keinen Zugriff auf WWW haben?
Danke im vorraus