[English]Konnten mutmaßlich chinesische Hacker vorab auf interne Beschreibungen von 0-Day-Schwachstellen in Microsoft SharePoint Server zugreifen, bevor diese am vorigen Wochenende ausgenutzt wurden? Microsoft untersucht jedenfalls, ob es ein Leak in internen Systemen gab, wo solche Informationen gespeichert sind.
Angriff auf SharePoint per 0-Day-Schwachstellen
Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verstärkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzte, gab es noch weitere ungepatchte und unbekannte 0-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771).
Diese wurden im Laufe des Freitags bzw. Samstags durch einen Exploit angegriffen wurden. Erste Angriffe wurden zum 17. Juli 2025 bemerkt, aber dort gab es noch keine Nutzlast in Form einer WebShell, die installiert wurde.
Ich hatte die Entwicklung im Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen sowie im Beitrag Sharepoint Server 0-Day-Schwachstelle: über 400 Opfer, Warlock-Ransomware-Infektionen nachgezeichnet. Inzwischen hat Microsoft Sonderupdates für diverse SharePoint Server-Versionen veröffentlicht, um die Schwachstellen zu schließen (siehe Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert).
Microsoft untersucht, ob es ein Leck gab
Nun ist der Verdacht aufgetaucht, dass mutmaßlich chinesische Hackergruppen irgendwie über ein Leck bei Microsoft vorab an die Informationen zu den 0-Day-Schwachstellen gelangt sein könnten.
Die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 waren ja im Mai 2025 auf der Pwn2Own-Hackerkonferenz in Berlin von einem vietnamesischen Sicherheitsforscher bei einem Angriff auf einen SharePoint-Server ausgenutzt worden. Der Sicherheitsforscher Dinh Ho Anh Khoa wurde mit 100.000 Dollar Prämie für den Hack bedacht und von Microsoft ausgezeichnet.
Es wurden damals keine Details zu den Schwachstellen genannt. Und die 0-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771) waren bis zur Ausnutzung öffentlich nicht bekannt. Aber Microsoft nutzt intern ein Programm, um eigene Entwickler und externe Sicherheitsforscher über nicht öffentliche Schwachstellen zu informieren.
Bloomberg berichtet nun, dass Microsoft untersucht, ob eine Sicherheitslücke in seinem Frühwarnsystem für Cybersicherheitsunternehmen (MAPPS) chinesischen Hackern ermöglicht hat, Schwachstellen in seinem SharePoint-Dienst auszunutzen, bevor diese behoben wurden.
Dustin Childs, Leiter der Abteilung für Bedrohungserkennung bei der Zero Day Initiative des Cybersicherheitsunternehmens Trend Micro, sagt, dass die Möglichkeit einer Sicherheitslücke im Microsoft Active Protections Program ihnen durchaus durch den Kopf ging, als erste Angriffe auf SharePoint bekannt wurden. Eine solche Sicherheitslücke dürfte eine ernsthafte Bedrohung für das MAPPS-Programm darstellen.
Die Mitglieder des MAPP-Programms wurden am 24. Juni, 3. Juli und 7. Juli 2025 über die Sicherheitslücken in SharePoint informiert, teilte Dustin Childs, Leiter der Abteilung für Bedrohungserkennung bei der Zero Day Initiative von Trend Micro, am Freitag gegenüber Reuters mit (Economic Times of India schreibt das hier). Microsoft hat laut einem Blogbeitrag vom Dienstag erstmals am 7. Juli 2025 Versuche zur Ausnutzung dieser Sicherheitslücke beobachtet.
Es ist derzeit alles nur ein Verdacht, aber es drängt sich auf, dass da jemand aus den Hackerkreisen frühzeitig auf die Informationen gestoßen ist. "Im Rahmen unseres Standardprozesses werden wir diesen Vorfall untersuchen, Verbesserungsmöglichkeiten ermitteln und diese Verbesserungen umfassend umsetzen", erklärte ein Microsoft-Sprecher in einer Stellungnahme gegenüber Bloomberg. Das Partnerprogramme sei ein wichtiger Bestandteil der Sicherheitsmaßnahmen des Unternehmens.
Ähnliche Artikel:
Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen
SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert
Sharepoint Server 0-Day-Schwachstelle: über 400 Opfer, Warlock-Ransomware-Infektionen
MVP: 2013 – 2016
Gibt nichts was es nicht gibt. Dann hätte M$ ein größeres Problem als bisher angenommen, zumal hier das „Frühwarnsystem" kompromittiert wäre.
Vllt. irgendwo günstige Chinesen eingesetzt, die selbst ihr Geld noch woanders verdienen. SCNR
Na von einem Job allein kann man da bei Microsoft wohl nicht leben da muss man eben noch was anderes nebenbei machen.
Waren es dann die chinesischen Techniker, die die Microsoft GCC High und DoD Clouds des Verteidigungsministeriums warten?
Nichts genaueres weiß man nicht.
> … Microsoft nutzt intern ein Programm, um eigene Entwickler und externe Sicherheitsforscher über nicht öffentliche Schwachstellen zu informieren. <
Also waren es gar keine 0-Day-Schwachstellen. Denn das NIST CSRC (1) charakterisiert solche als "a previously unknown … software vulnerability" und Wikipedia spricht (2) von "A zero-day (also known as a 0-day) is a vulnerability or security hole in a computer system unknown to its developers or anyone capable of mitigating it."
Microsoft wusste ja um die Schwachstellen, sonst hätten sie sich nicht in diesem Programm manifestieren können.
Wir sollten uns kein X für ein U vormachen und es Microsoft durchgehen lassen, dass sie sich mit der billigen und sachlich haltlosen Ausrede '0-Day, kannste nichts machen' zu exkulpieren versuchen.
_
(1) https://csrc.nist.gov/glossary/term/zero_day_attack
(2) https://en.wikipedia.org/wiki/Zero-day_vulnerability
Pwn2Own ist wichtig um solche Lücken zu finden. Der Hersteller hat dann 90 Tage Zeit bis das PoC veröffentlicht wird. Das war wohl hier früher als vereinbart bzw. jemand hat sich diese Infos organisiert.
Dass MS chinesische Ingenieure mit der Wartung Ihrer Cloud beauftragt hatte ( sie frühere Artikel hier bei Borncity ) und jetzt seit kurzer Zeit nicht mehr , ist schon ein Zeichen dafür, dass schon hier was „abgeflossen" sein könnte
******************************************
MS chinesische Ingenieure mit der Wartung Ihrer Cloud beauftragt hatte
******************************************
Dann ist da aber nix abgeflossen, sondern die sitzen einfach direkt an der Quelle ;-p
Das ist anscheinend noch viel dümmer gelaufen:
Der gezielte Angriff am 7. Juli auf wenige hatte mit der eigentlichen Angriffen auf viele seit dem 18. Juli technisch nichts mehr zu tun.
Durch den Patch vom 8. Juli hatte man zwar das ursprüngliche Loch gestopft. Dafür aber ein noch viel größeres neu eingebaut:
https://securelist.com/toolshell-explained/117045/
Aua Microsoft kann man da nur sagen.
Haben die etwa alle Softwarentwickler gefeuert, die besser als Copilot waren? ;)
Danke für diesen schönen Link:
Man liest und lächelt…
Sind diese Informationen mit denselben chinesischen Microsoft-Mitarbeitern geteilt worden, die IT-Anwendungen der US-Airforce coden?
Der Konzern wird immer schwachsinniger, quasi das Boeing der IT-Branche.
Wenn Kaspersky am 25.07. berichtet [1], dass Microsofts erster Sharepoint-Fix durch 's einfache Einfügen eines Slashes in den POST request ausgehebelt werden konnte und dann am Abend des selben Tages [2] über Bloomberg (financial news) lanciert wird, dass die ursprüngliche, von M$ verursachte Katastrophe vielleicht nicht "entdeckt", sondern "ausgeplaudert" wurde, klingt das in meinen Ohren schwer nach einem Ablenkungsmanöver.
[1] https://securelist.com/toolshell-explained/117045/
[2] 8:14 PM GMT+2