[English]Seit dem SharePoint-Desaster im Juli 2025, bei dem Schwachstellen angegriffen wurden, gibt es fast jeden Tag neue Enthüllungen. Es wurde spekuliert, dass mutmaßlich chinesische Hacker vorab auf interne Beschreibungen von 0-Day-Schwachstellen in Microsoft SharePoint Server zugreifen konnten. Nun heißt es, dass Microsoft Mitarbeiter aus China für die Wartung von SharePoint eingesetzt hat. Kleiner Nachtrag über die neuesten Entwicklungen.
Anzeige
Rückblick auf das SharePoint-Desaster
Ich nenne das Ganze inzwischen "SharePoint-Gate", weil es sich als einziges Desaster für Microsoft herausstellt. Zum 8. Juli 2025 hatte Microsoft Microsoft auch die Remote Code Execution-Schwachstellen CVE-2025-49701 und CVE-2025-49704 in Microsoft SharePoint geschlossen (Patchday: Microsoft Office Updates (8. Juli 2025)). Die als kritisch und important bewerteten Schwachstellen bekamen einem CVEv3 Score 8.8 (siehe Microsoft Security Update Summary (8. Juli 2025)).
Zum 17. Juli 2025 wurden erste Angriffe auf SharePoint-Server, die im Internet erreichbar waren, bemerkt. Aber dort gab es noch keine Nutzlast in Form einer WebShell, die installiert worden wäre. Ab dem 18. Juli 2025 beobachteten diverse Sicherheitsanbieter wie Sophos etc. verstärkte Angriffswellen auf, per Internet erreichbare, Microsoft SharePoint-Server.
Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzte, gab es noch weitere ungepatchte und unbekannte 0-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771). Ich hatte zeitnah im Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen berichtet.
Microsoft versuchte zwar mit Notfall-Maßnahmen zur Abschwächung und Notfall-Updates (siehe SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)) zu reagieren (siehe Sharepoint Server 0-Day-Schwachstelle: über 400 Opfer, Warlock-Ransomware-Infektionen)). Aber zu diesem Zeitpunkt waren hunderte Organisationen bereits erfolgreich kompromittiert.
Anzeige
Die letzte Information, die mir aktuell geläufig ist, findet sich in diesem Beitrag der Kollegen von Bleeping Computer. Ransomware-Gangs reihen sich inzwischen in die Reihe der Angreifer auf Microsoft SharePoint-Server ein.
Schwachstellen sei Mai 2025 bekannt, dilettantischer Patch
Die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 waren im Mai 2025 auf der Pwn2Own-Hackerkonferenz in Berlin von einem vietnamesischen Sicherheitsforscher bei einem Angriff auf einen SharePoint-Server ausgenutzt worden. Der Sicherheitsforscher Dinh Ho Anh Khoa wurde mit 100.000 Dollar Prämie für den Hack bedacht und von Microsoft ausgezeichnet.
Bald wurde der Verdacht bekannt, dass dass Microsoft untersucht, ob eine Sicherheitslücke in seinem Frühwarnsystem für Cybersicherheitsunternehmen (MAPPS) chinesischen Hackern ermöglicht hat, Schwachstellen in seinem SharePoint-Dienst auszunutzen, bevor diese behoben wurden. Ich hatte das im Beitrag Microsoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde angesprochen.
Aber diese große "Verschwörung" brauchte es nicht. Es gibt zwei Sachverhalte, die im Nachgang ein spezielles Licht auf die gesamte Angelegenheit werfen. Einmal brauchte Microsoft von Mai bis Juli 2025, um Sicherheitsupdates für die auf der Pwn2Own-Hackerkonferenz in Berlin offen gelegten RCE-Schwachstellen bereitzustellen.
Ich hatte es nicht im Blog thematisiert weil ich einige Tage Urlaub gemacht habe (erinnerungsmäßig hat ein Blog-Leser darauf hingewiesen), aber der Patch konnte durch ein zusätzliches Zeichen in einer URL umgangen werden. Kaspersky hatte zum 25. Juli 2025 eine detaillierte Analyse der Schwachstellen im Beitrag ToolShell: a story of five vulnerabilities in Microsoft SharePoint veröffentlicht. Schlüsselstelle im Beitrag ist die Aussage "Our analysis of the exploit showed that it did rely on vulnerabilities fixed under CVE-2025-49704 and CVE-2025-49706, but by changing just one byte in the request, we were able to bypass those fixes". Die Kollegen von Golem hatten es im Beitrag Hacker umgehen Microsofts Patch mit nur einem Zeichen angesprochen.
Software-Fachleute aus China warten SharePoint
Aber das Ganze erfuhr in meinen Augen noch eine Steigerung. Ich hatte vor einigen Wochen im Beitrag Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten berichtet, dass Microsoft Angestellte in China die Cloud des US-Verteidigungsministeriums warten lässt. Kurz nach Veröffentlichung dieser Praxis gab Microsoft das Ende dieser Praxis bekannt (siehe Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure).
Ich bin bereits am vorigen Freitag, den 1. August 2025, auf den Beitrag Microsoft Used China-Based Engineers to Support Product Recently Hacked by China von ProPublica gestoßen, komme aber erst jetzt dazu, dass aufzugreifen. Die Botschaft des Artikels: Microsoft habe zwar bekannt gegeben, dass staatlich geförderte Hacker aus China Schwachstellen in SharePoint Server ausgenutzt hätten. Was aber nicht erwähnt worden sei, wäre der Umstand, dass das Unternehmen seit langem Ingenieure aus China für die Wartung des Produkts einsetzt.
Im Artikel heißt es, dass der Support für SharePoint von einem in China ansässigen Entwicklerteam geleistet wird. Das Team sei seit Jahren für die Wartung der Software verantwortlich.
ProPublica gibt an, Screenshots aus dem internen Arbeitserfassungssystem von Microsoft gesehen zu haben, die belegen, dass Mitarbeiter in China "kürzlich" Fehler in den On-Premises SharePoint-Servern behoben haben. Das ist aber die Variante, die von den Angriffen im Juli 2025 betroffen war.
Die Seite ProPublica schreibt, dass das in China ansässige Team, laut einer Aussage von Microsoft, "von einem in den USA ansässigen Ingenieur beaufsichtigt [werde] und allen Sicherheitsanforderungen und der Überprüfung des Manager-Codes unterliegt. Es werde aber bereits daran gearbeitet, diese Arbeit an einen anderen Standort zu verlagern."
Genau dies war doch auch die Aussage Microsofts, die ich im Beitrag Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten thematisiert hatte. Auch damals hatte ProPublica diesen Sachverhalt aufgedeckt.
Laut ProPublica liegt kein Beleg vor, dass die Mitarbeiter in China, die für die SharePoint-Wartung zuständig waren, an den Hacks beteiligt waren. Es braucht aber wohl nicht viel Phantasie, sich vorzustellen, dass diesen Mitarbeitern möglicherweise "arg bei ihren Aktivitäten" über die Schulter geschaut wurde – Überwachung ist in China allgegenwärtig.
Zudem gewähren die chinesischen Gesetze dem Regierungs- und Sicherheitsapparat weitreichende Befugnisse zur Datenerfassung und Überwachung. Für chinesische Bürger oder Unternehmen ist schwierig, sich einer direkten Aufforderung durch Sicherheitskräfte oder Strafverfolgungsbehörden sinnvoll zu widersetzen.
Microsoft hat die Kontrolle verloren
Da schimmert erneut der Wiederholungstäter Microsoft, der sich sehenden Auges Risiken für seine Kunden ins Nest holt – Hauptsache günstig und auf dem Papier abgesichert. Spätestens nach dem Storm 0558-Hack (siehe Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff) hätten die Alarmglocken bei Microsoft angehen und alles auf den Prüfstand gehoben werden müssen. The Wired China hat in diesem Beitrag den Elefant im Raum benannt: "eine poröse Firewall zwischen chinesischen Sicherheitsunternehmen, Hackergruppen und der Staatssicherheit hätten eine vertrauenswürdige Cybersicherheitspartnerschaft mit Microsoft gefährdet". Und das US-Medium Fox News schreibt hier, dass der Fehler in Microsoft SharePoint wichtige US-Regierungsbehörden gefährdet.
Nach jedem Hack verspricht Microsoft "noch besser und noch sicherer zu werden" und hat seine Secure Future-Initiative ins Leben gerufen (siehe Microsoft Ankündigung einer Secure Future Initiative). Aber das ist "weiße Salbe" bzw. "Bullshit-Bingo". Jürgen Schmidt, Sicherheitsredakteur bei heise, hat das im Kommentar Microsofts Secure Future Initiative: "Bullshit! auf den Punkt gebracht.
Als Beobachter kann ich nur konstatieren, dass Microsoft seit Jahren die Kontrolle über die eigenen Produkte verloren hat. Ein Fehler kann passieren, auch zwei oder drei – aber bei Microsoft reiht sich doch Katastrophe an Katastrophe. So aus dem hohlen Bauch heraus würde ich "Muss das Stockholm-Syndrom sein" konstatieren, wenn Leute die Produkte aus Redmond als "alternativlos" bezeichnen und nicht mal den Versuch machen, sich aus Abhängigkeiten zu lösen, sondern Volldampf weiter machen. Oder was habe ich mal wieder nicht verstanden, weil das so sein muss?
Ähnliche Artikel:
Microsoft Security Update Summary (8. Juli 2025)
Patchday: Microsoft Office Updates (8. Juli 2025)
Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen
SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert
Sharepoint Server 0-Day-Schwachstelle: über 400 Opfer, Warlock-Ransomware-Infektionen
Microsoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde
Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten
Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff
Microsoft Ankündigung einer Secure Future Initiative
Microsoft legt Fortschrittsbericht zur "Secure Future Initiative" vor
Anzeige
Überwachung ist überall allgegenwärtig.
Einfach mal zu Snowden, DE-CIX und Operation Eikonal nachlesen. Und was damals gemacht wurde, wird unter irgendeinem neuen Mäntelchen ganz sicher heute erst recht gemacht.
Heute der Aufmacher bei cnn.com:
Inside North Korea's efforts to infiltrate big US companies
How North Korean operatives are exploiting Corporate America to earn millions for Kim Jong Un's regime
https://edition.cnn.com/interactive/2025/08/05/world/north-korea-it-worker-scheme-vis-intl-hnk/index.html
Datensicherheit war gestern.
Das "Stockholm-Syndrom" ist eine sehr interessante Sache – ganz besonders im Zusammenhang mit Themenkomplexen, bei denen spontan "auf andere gezeigt" wird.
Naja ist auch ne Ausrede: Nein wir wurden nicht gehackt, die arbeiten ja für uns ;-P
Es ist komplett grotesk. Totale Verblödung und Gier. Ohne Worte.
"Plausible deniability" ist ein Stichwort, das mir in diesem Zusammenhang erwähnenswert scheint: Lassen wir doch "die Chinesen" unsere Spionage-Plattform pflegen – dann können wir auf die zeigen, wenn eine unserer Hintertüren auffliegt!
SharePoint online war ja nicht betroffen. Also besser wechseln?