[English]Langsam wird das Ausmaß der beobachteten Angriffswelle auf 0-Day-Schwachstellen in Microsoft SharePoint sichtbar. Microsoft hat inzwischen zwar Notfall-Updates für SharePoint Server freigegeben. Mittlerweile ist aber bekannt, dass über 400 Organisation wohl kompromittiert wurden. Und es steht fest, dass Angreifer die SharePoint Server auch mit Ransomware infizieren. In einer Nachlese fasse ich die neuen Informationen kurz zusammen.
Der 0-Day-Exploit und Angriffe seit 18.7.2025
Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verstärkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzte, gab es noch weitere ungepatchte 0-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771).
Diese wurden im Laufe des Freitags bzw. Samstags durch einen Exploit angegriffen wurden. Ich hatte die Entwicklung im Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen nachgezeichnet. Inzwischen hat Microsoft Sonderupdates für diverse SharePoint Server-Versionen veröffentlicht, um die Schwachstellen zu schließen (siehe Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert).
Über 400 Organisationen kompromittiert
So langsam wird das Ausmaß des Ganzen sichtbar. Waren bis zum letzten Wochenende über 80 Opfer bekannt, erhöhte sich deren Zahl bald auf 100. Darunter befindet sich laut Bloomberg auch die US-Atomwaffenbehörde. Die neueste Zahl der Kompromittierungen liegt bei über 400 Opfern, wie The Register hier berichtet. Die meisten betroffenen Systeme befinden sich in den USA und in Deutschland.
Hinweise von ESET Research
ESET Research hat in einer Reihe von Tweets die Entwicklung nachgezeichnet. Erste Angriffe über einen Exploit, der die verketteten Schwachstellen ausnutzt, wurden am 17. Juli 2025 beobachtet. Die erste WebShell wurde von Angreifern am 18. Juli 2025 als Nutzlast auf Systeme in Italien ausgeliefert.
ESET Research hat mehrere IP-Adressen entdeckt, die bei den Angriffen vom 17. bis 22. Juli 2025 verwendet wurden. Der ToolShell-Exploit wird aber von allen möglichen Bedrohungsakteuren, von kleinen Cyberkriminellen bis hin zu staatlich geförderten Gruppen, darunter auch chinesische APTs, ausgenutzt.
Die Sicherheitsforscher haben ihre Erkenntnisse zum 24. Juli 2025 im Blog-Beitrag ToolShell: An all-you-can-eat buffet for threat actors zusammen gefasst. Im Beitrag gibt es Details zu ToolShell, zu den Anzeichen einer Kompromittierung (Indicator of Compromise, IoC), eine Liste der IP-Adressen, von denen Angriffe ausgehen, sowie Hinweise zu Gegenmaßnahmen. Administratoren von SharePoint-Servern sollten die Gegenmaßnahmen sowie die Hinweise, wie eine Kompromittierung festgestellt werden kann, lesen.
Ein Exploit-Modul für Penetrationstests, entwickelt von Rapid 7, welches die oben erwähnten Schwachstellen ausnutzt, ist auf GitHub beschrieben.
Microsoft liefert Erkenntnisse: Warlock-Ransomware-Infektionen
Microsoft hatte bereits zum 22. Juli 2025 den Blog-Beitrag Disrupting active exploitation of on-premises SharePoint vulnerabilities mit mehr Details zu den oben erwähnten Schwachstellen, Hinweisen zur Kompromittierung sowie zur Analyse und Gegenmaßnamen veröffentlicht.
Microsoft schriebt, dass man zum Zeitpunkt der Erstellung des Beitrags bereits zwei chinesische Akteure, Linen Typhoon und Violet Typhoon, beobachtet habe, die diese Schwachstellen bei per Internet erreichbaren SharePoint-Server ausnutzen. Darüber hinaus haben Sicherheits-Experten von Microsoft beobachtet, dass ein weiterer in China ansässiger Bedrohungsakteur (Storm-2603), diese Schwachstellen ausnutzt.
Zum 24. Juli 2025 hat Microsoft Thread Intelligence in obigem Tweet auf eine Aktualisierung des Artikels Disrupting active exploitation of on-premises SharePoint vulnerabilities vom 23. Juli 2025 hingewiesen.
Die kontinuierliche Überwachung der Exploit-Aktivitäten von Storm-2603 samt einer erweiterten Analyse hat zur Entdeckung des Einsatzes der Ransomware Warlock auf kompromittierten Systemen geführt. Microsoft hat dann auf Grundlage dieser neuen Informationen die Abschnitte Attribution, Indikatoren für Kompromittierung, und Erweiterte und präzisiertere Empfehlungen zur Schadensbegrenzung und zum Schutz aktualisiert. Administratoren von SharePoint-Servern sollten sich diesen Artikel sowie den obigen ESET Research-Beitrag durchlesen und die Empfehlungen abarbeiten.
Microsoft SharePoint 365, also die Online-Version dieser Software scheint von den 0-day-Schwachstellen nicht betroffen zu sein.
Ähnliche Artikel:
Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen
SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert
MVP: 2013 – 2016
Was mir bei der aktuellen Berichterstattung auffällt: Es werden fast ausschließlich chinesische und russische Hackergruppen thematisiert. Hier wünsche ich mir eine ausgewogenere Darstellung. Ohne eine Diskussion anzetteln zu wollen – jedem sollte bewusst sein, dass alle Staaten in diesem Bereich agieren und Zero-Day-Exploits nutzen, wo immer möglich. Das Kernproblem bei diesem SharePoint Exploit liegt in der mangelnden Nachvollziehbarkeit. Man bekommt es ja kaum mit, wenn jemand den SharePoint gekapert hat. Da werden noch ein paar Hacks hinterher kommen in den nächsten Wochen.
Diese ewigen Relativierungs- und Ablenkungsversuche bei konkreter Benennung der von den Feinden der Freiheit im Fernen Osten ausgehenden Angriffe öden an. Dir sind Angriffe anderer staatlicher Akteure bekannt? Dann veröffentliche sie.
Ich lasse den Kommentar mal bestehen, aber er Einleitungssatz führt am Kern vorbei und versucht zu relativieren. Der Beitrag führt die aktuellen Informationen über IoCs, Gegenmaßnahmen und Erkenntnisse zusammen und benennt mutmaßliche Hackergruppen, die bei Angriffen auffallen. Ziel ist es, dass SharePoint-Administratoren sich die verlinkten Quellen anschauen und entsprechend handeln – denn am Ende des Tages ist es egal, wer die WebShell auf der SharePoint-Instanz installiert hat. Und damit sollte der Nebenthread hier auslaufen. Danke.
Wer gehackt hat, ist sicher nicht egal, denn die Hackergruppen aus China und Russland verfolgen eher andere Ziele als welche aus westlichen Ländern, besser macht es das aber eher nicht, aber die Folgen könnten dennoch unterschiedlich schlimm sein.
Das Problem ist aber, wenn verantwortliche Admins erst heute auf diese Sicherheitslücke aufmerksam werden, dann ist es nämlich vielleicht schon zu spät und das Ding ist längst gehackt. Hochachtung vor den (eigenen) Kollegen, welche die Sharepoint-Server schon (am Montag!) gepatcht haben, egal ob sie von extern oder nur intern (über VPN) erreichbar sind. Sharepoint zu patchen ist recht zeitaufwändig.
verstehe die Aufregung nicht, wir betreiben seit Jahrzehnten, Exchange, SharePoint u.a. mit Zugang übers Internet. Ordentlich schützen, heißt die Devise.
und erleuchtest du uns, was ihr anders macht :)?
Der Ansatz ist falsch. Die Betreiber der anfälligen Server machen was anders. Ich glaube nicht, dass es weltweit nur 400 + x oder xx Sharepointserver gibt.
Cloud vergessen?
Habe mal den ESET Beitrag durchgescrollt und bei den Netzwerken der Hosting Provider, von denen einige der Angriffe ausgingen, fiel mir eine GmbH ins Auge.
Mal auf der Webseite geschaut und den Handelsregistereintrag gegooglt.
Schon interessant, eine deutsche Firma auf der deren Seite nur das Impressum deutsch ist. Dort steht noch ein 2. GF den ich bei den Registerdaten nicht gesehen habe.
Der andere GF hat einen chinesischen Namen und lt. dem Registereintrag auch einen Wohnsitz in China. Ich vermute mal, dass das im Eintrag der Wohnsitz und nicht der Geburtsort ist.
Auf der Homepage ist auch angegeben von 2011 bis 2025 aber laut HR Eintrag wurde die GmbH erst 2019 gegründet. Na ja die Angabe auf der Homepage hat nicht vielzusagen aber als Verbraucher suggeriert mir dies, dass es das Unternehmen schon seit dieser Zeit gibt und das weckt mehr Vertrauen. Die Diskrepanz zum HR Eintrag wiederum nicht.
Bei einen schnellen Blick in eine Ltd. ist der GF auch chin. Staatsbürger.
Gut bei 2 von ca. 25 aufgelisteten IP Adressen und Providern ist das kein Muster aber schon interessant.