[English]Noch ein Nachtrag zur 0-Day-Schwachstelle in Microsoft SharePoint sowie der beobachteten Angriffswelle. Microsoft hat auch für SharePoint Server 2016 ein Notfall-Update freigegeben. Inzwischen gibt es Meldungen, dass ein Teil der Angriffe über einen 0-day-Exploit aus China kamen. Und über 400 Organisation wurden (inzwischen) wohl kompromittiert, wobei die USA und Deutschland am meisten betroffen sind. Zwischenzeitlich hat auch Microsoft einen ausführlicheren Blog-Beitrag veröffentlicht. Hier eine Nachlese mit einer Zusammenfassung.
Der 0-Day-Exploit und die Angriffe
Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verstärkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzt (ToolShell-Exploit), war schnell klar, dass es noch etwas anderes geben müssen.
Im Laufe des Freitags bzw. Samstags wurde klar, dass es weitere ungepatchte 0-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771) geben musste, die durch einen Exploit angegriffen wurden. Ich hatte die Entwicklung im Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen nachgezeichnet.
Um die 400 Opfer, Angriffe aus China
Bereits Sonntag war klar, dass so um die 85 Organisationen mit ihren SharePoint-Servern kompromittiert worden sind. Nun schreibt Reuters hier (heise hat den Volltext hier), dass bereits am Wochenende etwa 100 Unternehmen über ihre SharePoint-Instanzen, die per Internet erreichbar waren, kompromittiert wurden. Die neueste Zahl liegt bei über 400 Opfern, wie The Register hier berichtet.
Die meisten Betroffenen finden sich in den USA und in Deutschland, wobei sich auch Regierungsorganisationen unter den Opfern finden. Da dürften weitere Folgehacks drohen und es sind umfangreiche Aktionen zum Aufräumen sowie Absichern erforderlich. Ergänzung: Laut Bloomberg gehört die US-Atomwaffenbehörde zu den Opfern des Microsoft SharePoint-Hacks. Es sollen aber keine sensitiven und klassifizierten Informationen abgeflossen sein.
Hinweise von Mandiant
Von Mandiant ist mir einen Information zugegangen, dass die Schwachstellen zwar von mehreren Akteuren angegriffen wurden und werden. Die Sicherheits-Experten der Google-Tochter von Mandiant gehen davon aus, dass es sich bei mindestens einem der für diese frühe Ausnutzung verantwortlichen Akteure um einen Bedrohungsakteur mit chinesischem Hintergrund handelt.
Details von Microsoft
Microsoft hat zum 22. Juli 2025 den Blog-Beitrag Disrupting active exploitation of on-premises SharePoint vulnerabilities veröffentlicht. Dort werden nicht nur die oben erwähnten Schwachstellen und deren Ausnutzung angesprochen. Microsoft schreibt, dass man zum Zeitpunkt der Erstellung des Beitrags bereits zwei chinesische Akteure, Linen Typhoon und Violet Typhoon, beobachtet habe, die diese Schwachstellen bei per Internet erreichbaren SharePoint-Server ausnutzen.
Darüber hinaus haben Sicherheits-Experten von Microsoft beobachtet, dass ein weiterer in China ansässiger Bedrohungsakteur (Storm-2603), diese Schwachstellen ausnutzt. Die Ermittlungen zu anderen Akteuren, die diese Schwachstellen ebenfalls ausnutzen, sind noch nicht abgeschlossen. Angesichts der raschen Verbreitung dieser Sicherheitslücken geht Microsoft davon aus, dass Bedrohungsakteure sie auch weiterhin in ihre Angriffe auf ungepatchte lokale SharePoint-Systeme integrieren werden. Der Microsoft-Beitrag enthält sehr viele Details, auch zu Hinweisen auf eine Kompromittierung. Dabei sollten Administratoren die Hinweise unter Mitigation and protection guidance beachten.
Update für SharePoint 2016 nachgereicht
Microsoft hatte die Schwachstellen ab dem 19. Juli 2025 im Customer guidance for SharePoint vulnerability CVE-2025-53770 sowie in den oben verlinkten CVE-Beiträgen dokumentiert. Zum 20. Juli 2025 wurden Microsoft Sicherheits-Updates für Microsoft SharePoint Server Subscription Edition und Microsoft SharePoint Server 2019 veröffentlicht. Zum 21. Juli 2025 wurden dann Notfall-Updates für SharePoint 2016 zum Schließen der Schwachstellen nachgereicht. Hier nochmals die Liste aller Updates:
| Microsoft SharePoint Server Subscription Edition | Download Security Update for Microsoft SharePoint Server Subscription Edition (KB5002768) |
| Microsoft SharePoint Server 2019 | Download Security Update for Microsoft SharePoint 2019 (KB5002754) from Official Microsoft Download Center
Security Update for Microsoft SharePoint Server 2019 Language Pack (KB5002753) |
| Microsoft SharePoint Server 2016 | Security Update for Microsoft SharePoint Enterprise Server 2016 (KB5002760)
Security Update for Microsoft SharePoint Enterprise Server 2016 Language Pack (KB5002759) |
Ähnliche Artikel:
Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen
SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 100 Organisationen kompromittiert
MVP: 2013 – 2016
> Nun schreibt Reuters … <
Reuters schreibt u. a. "… said that an internet scan carried out with the Shadowserver Foundation had uncovered nearly 100 victims altogether – and that was before the technique behind the hack was widely known."
Ob die 100 als Spitze des Eisbergs zu betrachten sind? Denn neben dem zeitlichen Umstand "before … widely known" ist doch die Frage, welchen Erfassuungsbereich die Shadowserver Foundation für den Scan definierte resp. welche Aussagen sie in Richtung Vollständigkeit der Erfassung machte.
Ich beantworte mir die Frage gleich selber. Die Übersichtsseite (1) spricht von "This report is a list of all the websites we (or our collaborative partners) have been able to identify and verify to be compromised." und listet dann u. a. "Microsoft SharePoint webshells, likely the result of CVE-2025-53770 exploitation". Also ein deutliches Indiz für 'befallene Systeme ohne Anspruch auf Vollständigkeit ermittelt'.
_
(1) https://www.shadowserver.org/what-we-do/network-reporting/compromised-website-report/
Für kleines Geld kann man SP als auch Exchange leicht schützen, verstehe nicht, was die Firmen da machen.
Geoblocking gehört auch dazu, damit kann man schon mal eine Menge abfischen, ist natürlich kein Allheilmittel. Aber Sicherheit wird durch mehrere Maßnahmen generiert, nicht durch eine einzige überteuerte Firewall Appliance, bei der auch noch viele Features nicht genutzt werden.
SP Online ist übrigens nicht betroffen, ist auch nicht nötig, denn hier durften chinesische Techniker im offiziellen Auftrag an die Systeme ran, das ist Win-Win;-)
War übrigens im PremiumDoD Tenant, wie sieht das erst im globalen aus? Nordkorea, Iran und Belarus sind da auch eingeladen?
Exchange leicht schützen? Ich bin interessiert, vor allem wenn er weiterhin von außen erreichbar bleiben soll wegen ActiveSync. Was gibt es da für kleines Geld?
ich mache hier keine Werbung.
Das geht schon fast zum Nulltarif, je nach vorh. Firewall Appliance mit WAF und z.B. Reverse Authentication. Mehrfach erfolgreich gebaut.
Der Schlüssel ist die Voranmeldung, so das die Server gar nicht direkt erreichbar sind.
Das funktioniert natürlich nur so lange niemand in den Genuss der Credentials kommt, daher macht MFA schon Sinn, ohne wenigstens Account Lockout dergerstalt, dass die User am vorgelagterten System blockiert werden und nicht in der AD.
Das baue ich seit Ewigkeiten so und bisher gab es noch keine Zwischenfälle, ist gibt sogar Kunden, da wurden die Server 2-3J nicht aktualisiert (weil der Kunde eben nicht will). Wen juckt es, wenn keiner drankommt?
Ach Werbung ist das nicht eher Leidensaustausch. Also mit Reverse Proxy habe ich mir das auch schon überlegt, Apache und dann noch Modsecurity und ab dafür. MFA habe ich ekien Ahnung wie ich das mit einem Onprem Exchange umsetzen soll, damit dann ich Activesync und alles so tut wie es soll. Hybrid Modern Auth möchte ich nicht, wenn mir schon Microsoft seitens der GF auferlegt wird, dann möchte ich so viel wie möglich bei mir in der Struktur haben.
Meinst du, chinesische Geheimdienste verwenden chinesische IP-Adressen?
ja, ist nicht unwesentlich!
Abfischen, was geht, ist die Devise.
Eine reine Netzwerk‑Firewall reicht nicht aus, die beste Defense könnte eine Kombination aus WAF vor SharePoint-Web-Endpunkten, NGFW mit aktiver Threat‑Prevention, Härtung via Host‑Firewall/VPN, Patchen und Hardening-Tools wie AMSI/Defender/EDR darstellen. So erreicht man möglichst umfassenden Schutz gegen gegenwärtige wie zukünftige Angriffe auf Web-Applikationsebene, wobei natürlich ein 100%-iger Schutz immer ausgeschlossen werden kann.