< Zurück
Blog

Bedrohungs-Briefing: CVE-2025-53770 “ToolShell” - Aktiver SharePoint-Zero-Day

O365 SharePoint online ist davon nicht betroffen, dies gilt nur für SharePoint 2013+ vor Ort.

Was ist passiert?

Anfälligkeit: Ein kritischer (CVSS 9.8) Deserialisierungsfehler in lokalem Microsoft SharePoint Server ermöglicht die unautorisierte Remotecodeausführung über das Netzwerk.

Aktive Ausbeutung: Microsoft hat bestätigt, dass diese Sicherheitslücke in freier Wildbahn ausgenutzt wird.

Betroffener Bereich: Nur SharePoint-Umgebungen vor Ort sind anfällig. SharePoint Online (Microsoft 365) ist nicht betroffen.

Siehe Microsofts Kundenleitfaden zur Sharepoint-Schwachstelle

Aufschlüsselung der Ausbeutung

Angreifer erstellen bösartige serialisierte Daten, die vom Server nicht ordnungsgemäß deserialisiert werden, was zu einer nicht authentifizierten Remotecodeausführung führt. Es ist kein vorheriger Zugriff oder eine Benutzerinteraktion erforderlich.

Schweregrad und CVSS

Diese Sicherheitslücke hat einen CVSS v3.1 Score von 9.8. Sie ist netzwerkbasiert, wenig komplex, erfordert keine Privilegien oder Benutzerinteraktion und wirkt sich in vollem Umfang auf die Vertraulichkeit, Integrität und Verfügbarkeit aus.

Empfehlungen zur Schadensbegrenzung (bis zur Veröffentlichung des Patches)

Nach Angaben von Microsoft:

  • Setzen Sie Defender for Endpoint ein, um Aktivitäten nach der Ausbeutung zu erkennen.
  • Sicherstellung der AMSI-Integration in den SharePoint Server vor Ort.
  • Aktivieren Sie Microsoft Defender Antivirus auf allen SharePoint-Hosts.
  • Wenn AMSI nicht aktiviert werden kann, trennen Sie die anfälligen Systeme vom Internet.

Im Falle eines erfolgreichen Kompromisses

Es wurde beobachtet, dass Bedrohungsakteure nach Maschinenschlüsseln suchen:
C:\Programme\Daten\Microsoft\Crypto\RSA\MachineKeys

Drehen Sie ASP.NET-Maschinentasten: Wenn sensible Rechnerschlüssel offengelegt wurden, müssen die Rechnerschlüssel in den web.config-Dateien von SharePoint sofort gedreht oder neu erstellt werden, um alle potenziell gefährdeten Schlüssel ungültig zu machen. (wird nach erfolgreicher Ausnutzung angegeben). Siehe Microsofts Anleitung zur Schlüsselrotation.

Detektion und Jagdführung

Defender AV-Erkennungen

  • Exploit:Script/SuspSignoutReq.A
  • Trojan:Win32/HijackSharePointServer.A

Defender für Endpoint-Warnungen zur Überwachung

  • Mögliche Web-Shell-Installation
  • Verdächtiges Verhalten des IIS-Arbeitsprozesses
  • ‘Malware ’SuspSignoutReq' wurde blockiert

Erweiterte KQL-Abfrage für die Jagd (wir haben bereits damit gejagt)

DeviceFileEvents
| where FolderPath matches regex @"Web Server Extensions\\d+\\TEMPLATE\\LAYOUTS"
| where (Dateiname =~ "spinstall0.aspx" oder Dateiname hat "spinstall0")
| Projekt Zeitstempel, Gerätename, InitiatingProcessFileName, InitiatingProcessCommandLine, Dateiname, OrdnerPfad, ReportId, ActionType, SHA256
| Reihenfolge nach Zeitstempel absteigend

Zeitplan und Ausblick

Letzte Aktualisierung 21. Juli 2025

Weitere kleinere Aktualisierungen finden Sie in der Microsoft Kundenberatung.

Juli 21, 2025

Microsoft veröffentlicht SharePoint 2016 Sicherheitsupdates.

Juli 21, 2025

Microsoft Freigegeben Unterbrechung Blog-Beitrag und schrieb den Angriff Linen Typhoon, Violet Typhoon und Storm-2603 zu, basierend auf den bei diesen Angriffen verwendeten TTPs:

  • “Linen Typhoon hat sich auf den Diebstahl von geistigem Eigentum konzentriert und hat es vor allem auf Organisationen aus den Bereichen Regierung, Verteidigung, strategische Planung und Menschenrechte abgesehen.”
  • “Violet Typhoon ... hat sich der Spionage gewidmet und dabei vor allem ehemalige Regierungs- und Militärangehörige, Nichtregierungsorganisationen (NRO), Denkfabriken, Hochschulen, digitale und Printmedien, Finanz- und Gesundheitssektoren in den Vereinigten Staaten, Europa und Ostasien ins Visier genommen.”
  • “Sturm-2603 wird mit mittlerer Sicherheit als Bedrohungsakteur aus China eingestuft.”

Juli 20, 2025

Microsoft Clarified betroffenen SharePoint-Produkt in der Zusammenfassung.

  • Fixe Verfügbarkeitshinweise zur Verfügung gestellt.
  • Zusätzliche Hinweise zum Schutz. Microsoft hat außerdem Sicherheitsupdates für SharePoint-Produkte zu den unterstützten Versionen hinzugefügt.
  • Empfehlungen, einschließlich der Installation der Sicherheitsupdates vom Juli 2025 und der Rotation der Rechnerschlüssel.
  • Sicherheitsupdate für SharePoint 2019, einschließlich Links zu CVEs und veröffentlichten Sicherheitsupdates. (Ein Patch für Sharepoint 2016 ist noch ausstehend)

Siehe Microsofts Dokumentation zur Sicherheitslücke

Siehe Proof of Concept Exploit

Juli 19, 2025

  • Microsoft veröffentlichte den Hinweis und bestätigte die aktive Ausnutzung.
  • Es wurde noch kein Patch veröffentlicht, aber ein solcher wird derzeit getestet. Ein Out-of-Band-Update wird in Kürze erwartet.
  • Bedrohungsdaten deuten darauf hin, dass Gruppen wie Silk Typhoon oder Storm-0506 beteiligt sein könnten.

Sofortiger Aktionsplan (wenn Sie Sharepoint on-Premise haben)

AufgabeEinzelheiten
1. MilderungAktivieren Sie AMSI und Defender AV, oder isolieren Sie betroffene Server
2. ErkennungOntinue überwacht Defender AV- und Endpoint-Warnungen und führt Jagdabfragen durch
3. Netzwerk-VerteidigungSegmentieren Sie die dem Internet zugewandten Server und beschränken Sie den Zugriff
4. UntersuchungPrüfung auf Anzeichen einer Gefährdung und Sammlung forensischer Beweise
5. Patch-BereitschaftVorbereitung auf die sofortige Bereitstellung des kommenden SharePoint-Patches

Indikatoren für Kompromisse

Überprüfen Sie die Indikatoren für eine Kompromittierung auf GitHub

Zusammenfassung

CVE-2025-53770 ist eine kritische Zero-Day-Schwachstelle, die derzeit in freier Wildbahn ausgenutzt wird. Unternehmen, die SharePoint vor Ort einsetzen, müssen sofort Abhilfemaßnahmen ergreifen, auf Anzeichen einer Gefährdung achten und sich auf die Veröffentlichung eines Patches vorbereiten.

Teilen

Artikel von

Team für fortgeschrittene Bedrohungsabwehr

Ontinue – ATO

Das Advanced Threat Operations (ATO)-Team von Ontinue nutzt proaktive Methoden zur Identifizierung, Analyse und Abwehr von Bedrohungen, um unseren Kunden die nötige Widerstandsfähigkeit zu verleihen, mit der sie der sich ständig weiterentwickelnden Bedrohungslandschaft begegnen können.

Teammitglied Balazs Greksza Bild

Balazs Greksza
Teammitglied Domenico de Vitto Bild

Domenico de Vitto
Teammitglied Rhys Downing Bild

Rhys Downing
Team-Mitglied Manupriya Sharma Bild

Manupriya Sharma

Verwandte Artikel

Ein digitales Cover des "Threat Intelligence Report 2H 2024" von Onkinue, auf dem eine stilisierte Figur mit einem Fingerabdruckdesign vor einem violetten Hintergrund mit Farbverlauf zu sehen ist.
E-Book
2H 2024 Bericht über Bedrohungsdaten

Weiterlesen >
Eine Nahaufnahme mit dem Wort 'PASSWORD' in weißer Schrift, umgeben von Binärcode (Nullen und Einsen) auf blauem Hintergrund, die auf Themen wie Cybersicherheit und Datenschutz hinweist.
Blog
10 Milliarden Passwörter sind durchgesickert. Warum es keine Rolle spielt, wenn Sie die Sicherheit richtig handhaben

Weiterlesen >
Eine Person, von hinten gesehen, mit Kopfhörern, an einem Schreibtisch sitzend, vor mehreren Computerbildschirmen, auf denen Daten und Grafiken angezeigt werden, mit dem Text "ION Threat Advisory" (ION-Bedrohungswarnung) in weißer Schrift deutlich sichtbar.
Blog
CVE-2024-43461 Ausgenutzt von Void Banshee

Weiterlesen >
Eine Grafik mit einem Mikrofon-Symbol und den Texten 'Microsoft Security Tips' und 'Defend Your Time Podcast' auf einem violetten Hintergrund mit Farbverlauf.
Blog
Verteidigen Sie Ihre Zeit: 10 Schritte zur Verbesserung Ihrer Sicherheitslage in 60 Tagen

Weiterlesen >