Vorsicht für Unternehmen, die lokale Versionen von SharePoint verwenden. Microsoft hat bestätigt, dass Schwachstellen (CVE-2025-53770 – kritisch – und CVE-2025-53771) aktiv ausgenutzt werden. Die Redmond-Gruppe veröffentlicht jetzt Sicherheitsupdates für SharePoint Server 2016SharePoint Server 2019 und SharePoint-Abonnement-Edition.

Die Situation ist angespannt, da die ersten Ausnutzungsversuche auf den 7. Juli 2025 zurückgehen, lange bevor die Bedrohung öffentlich bekannt wurde. Zu beachten ist, dass SharePoint Online-Benutzer über Microsoft 365 nicht betroffen sind.

Chinesische Angriffsgruppen sind bereits am Werk

Hinter diesen Angriffen stehen Namen, die Cybersicherheitsspezialisten wohlbekannt sind. Microsoft hat drei in China ansässige Gruppen identifiziert: Linen Typhoon, Violet Typhoon und Storm-2603.

Linen Typhoon und Violet Typhoon sind staatliche Akteure, die sich auf Cyberspionage und Diebstahl geistigen Eigentums spezialisiert haben und auf so unterschiedliche Sektoren wie Verteidigung, NGOs und Finanzen abzielen. Storm-2603 wurde bereits zuvor mit dem Einsatz von Ransomware wie Warlock und Lockbit in Verbindung gebracht.

Mit großer Zuversicht ist Microsoft davon überzeugt, dass „ Bedrohungsakteure werden die Exploits weiterhin in ihre Angriffe auf nicht gepatchte lokale SharePoint-Systeme integrieren „. Eine Bedrohung, die wahrscheinlich fortbestehen wird und Dutzende von Organisationen bereits gefährdet sind.

Wie funktioniert der Angriff?

Angreifer zielen auf einen bestimmten SharePoint-Einstiegspunkt (den ToolPane-Endpunkt) ab, um die Authentifizierung zu umgehen und Code aus der Ferne auszuführen.

Sobald sie drinnen sind, besteht ihr Hauptziel darin, eine Web-Shell zu installieren. Dieses kleine Schadprogramm wird oft genannt spinstall0.aspxfungiert als permanente Hintertür auf dem Server.

Mit der Web-Shell können Sie Befehle starten, vor allem aber die MachineKey-Verschlüsselungsschlüssel vom Server stehlen. Der Besitz dieser Schlüssel verschafft Angreifern nahezu uneingeschränkten Zugriff, um Daten zu stehlen, Passwörter abzugreifen und sich über verbundene Dienste zu bewegen.

Schützen Sie Ihren Server: dringende Maßnahmen

Angesichts dieser Bedrohung ist Reaktivität die beste Verteidigung. Die erste unverzüglich zu ergreifende Maßnahme besteht darin, die betroffenen SharePoint-Server mit den neuesten von Microsoft bereitgestellten Patches zu aktualisieren. Aber das reicht nicht immer. Für einen vollständigen Schutz werden mehrere Schritte empfohlen.

Stellen Sie sicher, dass die Anti-Malware Scanning Interface (AMSI) aktiviert und ordnungsgemäß konfiguriert ist. Diese in den letzten Updates standardmäßig integrierte Technologie kann nicht authentifizierte Angriffe blockieren. Wenn die Aktivierung von AMSI nicht möglich ist, wird empfohlen, den Server bis zur Installation des Updates vom Internet zu isolieren.

Abschließend müssen nach der Anwendung des Patches noch zwei Aktionen durchgeführt werden. Rotieren Sie die SharePoint ASP.NET-Maschinenschlüssel und starten Sie die Internetinformationsdienste (IIS) auf allen Servern neu.

Microsoft fügt hinzu, dass der Einsatz von Erkennungs- und Reaktionslösungen wie Microsoft Defender for Endpoint die Verteidigungsstrategie ergänzt, um verdächtige Aktivitäten nach der Ausnutzung zu erkennen.