
Kritische Cybersicherheitswarnung: Exploits zielen auf lokale SharePoint-Server ab
Am vergangenen Wochenende enthüllten mehrere Cybersicherheitsbehörden eine Reihe anhaltender Cyberangriffe, die speziell auf lokale SharePoint-Serverumgebungen abzielen und ungelöste Schwachstellen ausnutzen. Insbesondere die Schwachstelle CVE-2025-53770, allgemein bekannt als ToolShell, ermöglicht unbefugten Zugriff auf SharePoint-Server.
Microsofts Reaktion auf aktive Bedrohungen
Microsoft ist sich dieser aktiven Exploits bewusst und hat bestätigt, dass im Sicherheitsupdate vom Juli teilweise Maßnahmen zur Risikominderung implementiert wurden. Wichtig ist, dass diese Schwachstellen ausschließlich lokale SharePoint Server-Installationen betreffen. Kunden, die SharePoint Online über Microsoft 365 nutzen, bleiben davon unberührt.
Zugriff auf Sicherheitsupdates
Organisationen können das für ihre Systeme relevante Juli-Sicherheitsupdate über die folgenden Links beziehen:
- Microsoft SharePoint Server-Abonnementedition – KB5002768
- Microsoft SharePoint Server 2019 – KB5002754
Empfohlene Minderungsstrategien
Während an einem umfassenden Hotfix gearbeitet wird, wird den Benutzern empfohlen, die folgenden vorbeugenden Maßnahmen zu ergreifen:
- Nutzen Sie unterstützte Versionen des lokalen SharePoint-Servers.
- Installieren Sie alle verfügbaren Sicherheitsupdates, insbesondere das Sicherheitsupdate vom Juli 2025.
- Aktivieren und konfigurieren Sie das Antimalware Scan Interface (AMSI) ordnungsgemäß und stellen Sie sicher, dass eine kompatible Antivirenlösung wie Microsoft Defender Antivirus vorhanden ist.
- Implementieren Sie Microsoft Defender für Endpunktschutz oder eine vergleichbare Lösung zur Erkennung von Endpunktbedrohungen.
- Rotieren Sie regelmäßig die ASP. NET-Computerschlüssel für SharePoint Server.
Erkennung und Bedrohungsidentifizierung
Microsoft Defender Antivirus kann erkennen, ob ein Server von dieser Sicherheitslücke betroffen ist. Betroffene Systeme können unter den folgenden Erkennungsnamen gekennzeichnet werden:
- Exploit:Script/SuspSignoutReq. A
- Trojaner:Win32/HijackSharePointServer. A
Forschungsergebnisse und dringender Aufruf zum Handeln
„Unsere Analyse umfasste das Scannen von über 8.000 SharePoint-Servern weltweit und deckte mehrere Fälle aktiver Kompromittierung auf, insbesondere um den 18. Juli um 18:00 UTC und den 19. Juli um 07:30 UTC“, erklärte das Cybersicherheitsforschungsunternehmen Eye.
Angesichts der Schwere dieser Sicherheitslücke ist es für alle Administratoren von SharePoint vor Ort zwingend erforderlich, unverzüglich die neuesten Sicherheitsupdates zu implementieren und die empfohlenen Strategien zur Risikominderung strikt einzuhalten.
Schreibe einen Kommentar