[English]Langsam wird das Ausmaß der beobachteten Angriffswelle auf 0-Day-Schwachstellen in Microsoft SharePoint sichtbar. Microsoft hat inzwischen zwar Notfall-Updates für SharePoint Server freigegeben. Mittlerweile ist aber bekannt, dass über 400 Organisation wohl kompromittiert wurden. Und es steht fest, dass Angreifer die SharePoint Server auch mit Ransomware infizieren. In einer Nachlese fasse ich die neuen Informationen kurz zusammen.
Der 0-Day-Exploit und Angriffe seit 18.7.2025
Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verstärkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706, gab es noch weitere ungepatchte 0-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771).
Diese wurden im Laufe des Freitags bzw. Samstags durch einen Exploit angegriffen wurden. Ich hatte die Entwicklung im Blog-Beitrag Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen nachgezeichnet. Inzwischen hat Microsoft Sonderupdates für diverse SharePoint Server-Versionen veröffentlicht, um die Schwachstellen zu schließen (siehe Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert).
Über 400 Organisationen kompromittiert
So langsam wird das Ausmaß des Ganzen sichtbar. Waren bis zum letzten Wochenende über 80 Opfer bekannt, erhöhte sich deren Zahl bald auf 100. Darunter befindet sich laut Bloomberg auch die US-Atomwaffenbehörde. Die neueste Zahl der Kompromittierungen liegt bei über 400 Opfern, wie The Register hier berichtet. Die meisten betroffenen Systeme befinden sich in den USA und in Deutschland.
Hinweise von ESET Research
ESET Research hat in einer Reihe von Tweets die Entwicklung nachgezeichnet. Erste Angriffe über einen Exploit, der die verketteten Schwachstellen ausnutzt, wurden am 17. Juli 2025 beobachtet. Die erste WebShell wurde von Angreifern am 18. Juli 2025 als Nutzlast auf Systeme in Italien ausgeliefert.
ESET Research hat mehrere IP-Adressen entdeckt, die bei den Angriffen vom 17. bis 22. Juli 2025 verwendet wurden. Der ToolShell-Exploit wird aber von allen möglichen Bedrohungsakteuren, von kleinen Cyberkriminellen bis hin zu staatlich geförderten Gruppen, darunter auch chinesische APTs, ausgenutzt.
Die Sicherheitsforscher haben ihre Erkenntnisse zum 24. Juli 2025 im Blog-Beitrag ToolShell: An all-you-can-eat buffet for threat actors zusammen gefasst. Im Beitrag gibt es Details zu ToolShell, zu den Anzeichen einer Kompromittierung (Indicator of Compromise, IoC), eine Liste der IP-Adressen, von denen Angriffe ausgehen, sowie Hinweise zu Gegenmaßnahmen. Administratoren von SharePoint-Servern sollten die Gegenmaßnahmen sowie die Hinweise, wie eine Kompromittierung festgestellt werden kann, lesen.
Ein Exploit-Modul für Penetrationstests, entwickelt von Rapid 7, welches die oben erwähnten Schwachstellen ausnutzt, ist auf GitHub beschrieben.
Microsoft liefert Erkenntnisse: Warlock-Ransomware-Infektionen
Microsoft hatte bereits zum 22. Juli 2025 den Blog-Beitrag Disrupting active exploitation of on-premises SharePoint vulnerabilities mit mehr Details zu den oben erwähnten Schwachstellen, Hinweisen zur Kompromittierung sowie zur Analyse und Gegenmaßnamen veröffentlicht.
Microsoft schriebt, dass man zum Zeitpunkt der Erstellung des Beitrags bereits zwei chinesische Akteure, Linen Typhoon und Violet Typhoon, beobachtet habe, die diese Schwachstellen bei per Internet erreichbaren SharePoint-Server ausnutzen. Darüber hinaus haben Sicherheits-Experten von Microsoft beobachtet, dass ein weiterer in China ansässiger Bedrohungsakteur (Storm-2603), diese Schwachstellen ausnutzt.
Zum 24. Juli 2025 hat Microsoft Thread Intelligence in obigem Tweet auf eine Aktualisierung des Artikels Disrupting active exploitation of on-premises SharePoint vulnerabilities vom 23. Juli 2025 hingewiesen.
Die kontinuierliche Überwachung der Exploit-Aktivitäten von Storm-2603 samt einer erweiterten Analyse hat zur Entdeckung des Einsatzes der Ransomware Warlock auf kompromittierten Systemen geführt. Microsoft hat dann auf Grundlage dieser neuen Informationen die Abschnitte Attribution, Indikatoren für Kompromittierung, und Erweiterte und präzisiertere Empfehlungen zur Schadensbegrenzung und zum Schutz aktualisiert. Administratoren von SharePoint-Servern sollten sich diesen Artikel sowie den obigen ESET Research-Beitrag durchlesen und die Empfehlungen abarbeiten.
Microsoft SharePoint 365, also die Online-Version dieser Software scheint von den 0-day-Schwachstellen nicht betroffen zu sein.
Ähnliche Artikel:
Sharepoint-Server werden über 0-day Schwachstelle (CVE-2025-53770) angegriffen
SharePoint-Notfall-Updates für 0-day Schwachstelle (CVE-2025-53770)
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit Ransomware, Sharepoint, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.
