»ToolShell«-Sicherheitslücke gefährdet SharePoint-Nutzer

SharePoint-Lücke ToolShell gefährdet Tausende Unternehmen weltweit

Über die als kritisch eingestufte, als »ToolShell« bezeichnete Schwachstelle mit der Kennung CVE-2025-53770 werden seit dem Wochenende Nutzer von Microsoft Sharepoint angegriffen. Es gibt Berichte von zahlreichen erfolgreichen Angriffen. Microsoft hat einen Notfall-Update bereitgestellt. Experten empfehlen jedoch im Zweifelsfall, die lokalen SharePoint-Server vom Internet zu trennen.

Sowohl die US-amerikanische Sicherheitsbehörde CISA als auch das BSI haben bereits vor der Sicherheitslücke gewarnt. Eine Analyse Shadowserver Foundation zeigt, dass besonders viele verwundbare Server in den USA stehen. Deutschland liegt auf Platz 2, weit vor Kanada und anderen großen europäischen Ländern.

»Bei CVE-2025-53770 (basierend auf CVE-2025-49704) handelt es sich um eine nach dem Common Vulnerability Scoring System (CVSS) mit 9,8 von 10 bewertete, kritische Schwachstelle, die einem nicht authentisierten Angreifer die Ausführung von Code aus der Ferne ermöglicht«, schreibt das BSI. »Die Ausnutzung erfolgte in den beobachteten Attacken in Verbindung mit der Schwachstelle CVE-2025-53771 (basierend auf CVE-2025-49706), eine mit 6.3 (»mittel«) bewertete Verwundbarkeit, mit deren Hilfe Spoofing -Angriffe über ein Netzwerk initialisiert werden können.«

Erfolgreiche Angriffe mit ToolShell sind bereits bekannt

Nach aktuellen Erkenntnissen des BSI ist es Angreifern gelungen, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen. Bereits veröffentlichten Sicherheits-Updates reichen daher nicht mehr aus. Die Installation der Notfall-Updates sei unbedingt erforderlich. Nachdem erfolgreiche Angriffe zunächst nur aus den US bekannt waren, hat das IT-Sicherheitsunternehmen Bitdefender inzwischen auch Angriffe in Deutschland, Österreich und der Schweiz beobachtet.

Nutzen Angreifer die als ToolShell bezeichnete Schwachstelle erfolgreich aus, können sie MachineKey-Konfigurationsdetails von SharePoint-Servern erlangen. Des Weiteren erhalten sie vollen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen, und können Code ausführen, warnt das BSI.

Microsoft hatte am 19. Juli  das Problem bestätigt und Notfallmaßnahmen empfohlen. Der Konzern stuft die Lücke  im Rahmen seiner Security-Empfehlungen ebenfalls als »kritisch« ein. Die Angreifer entdecken die Sicherheitslücke offenbar durch ein kürzlich bereitgestelltes Microsoft-Update, das eine ganz ähnliche Schwachstelle behoben hat. Betroffene Unternehmen sollten schnellstmöglich die Installation des von Microsoft veröffentlichten Notfall-Updates prüfen (KB5002768). Außerdem hat Microsoft sukzessive Patches für unterschiedliche SharePoint-Versionen bereitgestellt. Weitere Erklärungen dazu gibt der Konzern hier.

Notfalls den Stecker ziehen

Microsoft empfiehlt zudem, das Antimalware Scan Interface (AMSI) und Microsoft Defender zu aktivieren beziehungsweise dessen Konfiguration zu überprüfen. »Ist kurzfristig keine dieser Maßnahmen möglich, sollte der SharePoint Server vom Internet getrennt werden«, rät das BSI.

»Wenn Ihr Unternehmen über eine lokale Microsoft-SharePoint-Instanz verfügt, die mit dem Internet verbunden ist, müssen Sie sofort Maßnahmen ergreifen«, sagt Charles Carmakal, CTO der Google-Security-Tochter Mandiant.

Das niederländische IT-Security-Unternehmen EyeSecurity hatte am Freitag bei einem Scan von über 8.000 SharePoint-Servern weltweit bereits »Dutzende« von kompromittierten Systemen entdeckt. Die Anzahl dürfte seitdem deutlich gestiegen sein. Auch Eye Security empfiehlt, lokale SharePoint-Server zu isolieren oder abzuschalten.

Nutzer sollten von erfolgreichem Angriff ausgehen

Ähnlich äußert sich Charles Carmakal, CTO der Google-Security-Tochter Mandiant. »Wenn Ihr Unternehmen über eine lokale Microsoft-SharePoint-Instanz verfügt, die mit dem Internet verbunden ist, müssen Sie sofort Maßnahmen ergreifen«, sagt er. Lediglich den Patch zu installieren, reiche nicht aus. »Es ist ratsam, von einer Kompromittierung auszugehen und zu untersuchen, ob das System vor der Installation des Patches beziehungsweise den Maßnahmen zur Risikominderung kompromittiert wurde, und entsprechende Abhilfemaßnahmen zu ergreifen«, rät Carmakal zu gründlichem Vorgehen.

»Wir raten Unternehmen dringend, umgehend Incident-Response-Maßnahmen einzuleiten, um mögliche Kompromittierungen zu identifizieren«, sagt Satnam Narang, Senior Staff Research Engineer bei der IT-Security-Firma Tenable.

Die Ausnutzung der SharePoint-Schwachstelle dürfte laut Satnam Narang, Senior Staff Research Engineer bei der IT-Security-Firma Tenable für betroffene Unternehmen weitreichende Folgen haben. Angreifern fallen dabei Informationen in die Hände, die es ihnen ermöglichen, »speziell präparierte Anfragen zu generieren, die potenziell zu nicht authentifizierter Remote Code Execution führen können« – also den Zugriff aus der Ferne erlauben.

»Unternehmen, die möglicherweise betroffen sind, sollten aktiv nach Hinweisen auf eine Kompromittierung suchen«, rät Narang. »Dazu zählt insbesondere eine Datei namens spinstall0.aspx, die auf den angegriffenen Systemen erstellt wurde – gegebenenfalls mit abweichender Dateierweiterung.«

Michael Sikorski, Leiter der Threat-Intelligence-Sparte Unit 42 beim Security-Anbieter Palo Alto Networks, sagt: »Während Cloud-Umgebungen nicht betroffen sind, sind lokale SharePoint-Implementierungen einem unmittelbaren Risiko ausgesetzt – insbesondere in Behörden, Schulen, im Gesundheitswesen einschließlich Krankenhäusern und großen Unternehmen.«

Integration von SharePoint in die Microsoft-Plattform macht Sorgen

Angreifer umgehen Sikorski zufolge Identitätskontrollen, einschließlich MFA und SSO, um privilegierten Zugang zu erlangen. »Einmal im System, exfiltrieren sie sensible Daten, installieren permanente Hintertüren und stehlen kryptographische Schlüssel. Die Angreifer haben diese Schwachstelle genutzt, um in Systeme einzudringen, und etablieren bereits ihre Präsenz.«

Wenn Unternehmen SharePoint lokal betreiben und es mit dem Internet verbunden ist, sollten sie laut Sikorski aktuell davon ausgehen, dass sie kompromittiert wurden. »Patching allein ist unzureichend, um die Bedrohung vollständig zu beseitigen«,  betont der Experte.

Er erklärt weiter: »Besonders besorgniserregend ist die tiefe Integration von SharePoint in die Microsoft-Plattform, einschließlich ihrer Dienste wie Office, Teams, OneDrive und Outlook, die alle für einen Angreifer wertvollen Informationen enthalten. Eine Kompromittierung bleibt nicht eingegrenzt – sie öffnet die Tür zum gesamten Netzwerk.«

Experten warnen einhellig davor, dass nach einem erfolgreichen aber zunächst folgenlos erscheinendem Angriff die Angreifer mit den erbeuteten Informationen – insbesondere den Zugangsdaten – später  erneut mehrfach zuschlagen könnten. Diese Aktionen wären dann noch schwieriger zu entdecken, das sie scheinbar legitime Vorgänge nachahmen.

Spur der Angreifer führt nach China

Besonders kritisch ist das, weil es sich offenbar um hochprofessionelle Angreifer handelte, die die Lücke bisher ausgenutzt haben. Microsoft nennt in einem neuen Blogpost insgesamt drei staatlich unterstützte Akteure aus China, die es mit den Angriffen in Verbindung bringt. Das seien einmal die Microsoft bereits bekannten Gruppen »Linen Typhoon« und »Violet Typhoon«. Sie koordinierten offenbar die erste Angriffswelle. Microsoft hat sie seit 2012 beziehungsweise 2015 im Blick. Beide seien auf das Ausspionieren von Firmen, Behörden und NGOs spezialisiert.

Darüber hinaus habe Microsoft aber mit  »Storm-2603« einen weiteren, vermutlich in China ansässigen Bedrohungsakteur beobachtet, der die Schwachstellen ausnutzt. Diese Gruppe scheint mit den beiden anderen nicht in Verbindung zu stehen und ist stärker auf kommerziellen Erfolg ausgerichtet. Sie habe in der Vergangenheit auch Ransomware installiert. Welche Ziele die Gruppe mit den ToolShell-Angriffen verfolge, sei unklar. Denkbar ist aber, dass sie sich Zugangsdaten oder Informationen für Social Engineering verschafft und die später nutzt, um Firmen mit Ransomware oder betrügerischem E-Mails (»Business E-Mail Compromise«) anzugreifen.

»Die Ermittlungen zu weiteren Akteuren, die diese Exploits ebenfalls nutzen, dauern noch an«, teilt Microsoft mit. Das bedeutet, dass sich neben den ursprünglichen Entdeckern der Lücke inzwischen auch andere Hacker-Gruppen die Möglichkeit angeschaut und Exploits zur Verfügung haben. Damit kann davon ausgegangen werden, dass nicht nur gezielt einzelne Unternehmen, die zum Beispiel wegen Patenten oder Technologien ausgespäht werden sollen, angegriffen werden, sondern alle Firmen, die irgendwie angreifbar sind.