Microsoft SharePoint Hacker-Angriff

23. Juli 2025
|In Netzwerk, Cloud, Endpoint
|Von Mr. Robot

Microsoft SharePoint Zero-Day Exploit – Zusammenfassung des aktuellen Vorfalls

Das Sommerloch in der Medienlandschaft war in vollem Gange, bevor der Fokus plötzlich vom Gotthard-Stau auf einen der grössten Hackerangriffe der letzten Jahre wechselte.

Durch eine bisher unbekannte Sicherheitslücke (Zero-Day) in Microsofts SharePoint gelang es Angreifern am vergangenen Wochenende, weltweit Unternehmen und Behörden zu kompromittieren – insbesondere in den USA und in Deutschland.

❓ Wer ist betroffen?

  • SharePoint Server Subscription Edition
  • SharePoint Server 2019
  • SharePoint Server 2016 (hier steht ein Fix noch aus)

📅 Timeline

Mai 2025
Bei einem Hacking-Wettbewerb in Berlin entdecken Teilnehmer eine Authentifizierungs-Bypass- und eine Deserialisierungs-Schwachstelle in SharePoint. Microsoft reagiert mit Patches für die CVE-2025-49706 und CVE-2025-49704.

7. Juli 2025
Erste aktive Ausnutzungen der Schwachstelle werden laut mehreren Research-Instituten beobachtet.

18. Juli 2025
Ein Kunde meldet sich bei Eye Security, nachdem auf seinem On-Prem-SharePoint Schadsoftware entdeckt wurde. Die Analysten erkennen rasch, dass es sich um eine breit angelegte Zero-Day-Kampagne handelt.

🧨 Angriffsmethode

Die als ‘ToolShell’ bekannte Schwachstelle (CVE-2025-53770) ermöglicht Angreifern vollen Zugriff auf SharePoint – inklusive Machine Keys, Dateisystem, Konfigurationen sowie der Möglichkeit, eigenen Code auszuführen.

ToolShell steht dabei in enger Verbindung mit den bereits im Mai gemeldeten Schwachstellen. Diese stellten sich im Nachhinein als unvollständig gepatcht heraus.

Betroffen waren ausschließlich On-Premise-Installationen von SharePoint. Kund:innen, die SharePoint Online (O365) nutzen, blieben von diesem Angriff verschont.

Die Auswirkungen beschränkten sich nicht nur auf SharePoint selbst, da in vielen Infrastrukturen kritische Systeme wie Mail- oder File-Server mit SharePoint verknüpft sind.

🤺 Wer sind die Angreifer?

Laut Microsoft haben zwei staatlich geförderte chinesische Hackergruppen namens „Linen Typhoon“ und „Violet Typhoon“ versucht, die ToolShell-Sicherheitslücken für einen ersten Zugriff zu nutzen. Darüber hinaus hat das Unternehmen eine dritte Hackergruppe namens „Storm-2603“ entdeckt, die mit mittlerer Wahrscheinlichkeit mit China in Verbindung steht und Zero-Day-Angriffe durchführt.

🧯 Reaktion von Microsoft

Am Samstag informierte Microsoft über erste Hinweise auf aktive Angriffe auf SharePoint-Server. Bereits am Montagmorgen wurden Sicherheitsupdates veröffentlicht – allerdings vorerst nur für SharePoint 2019.

Für Organisationen mit SharePoint 2016 empfahl Microsoft, betroffene Server vorübergehend vom Netz zu nehmen, bis entsprechende Updates verfügbar sind.

Microsoft veröffentlichte außerdem eine Liste mit bekannten Indicators of Compromise (IOCs) in ihrem offiziellen Blog: 🔗 Microsoft Security Blog

🛡️ Empfehlungen

Microsoft sprach mehrere Sofortmassnahmen aus:

  • Aktivierung von AMSI (Antimalware Scan Interface)
    AMSI ist eine Schnittstelle in Windows, die es ermöglicht, Skripte und Inhalte zur Laufzeit von einer Antivirenlösung (z. B. Microsoft Defender) überprüfen zu lassen – bevor sie ausgeführt werden.
  • Einsatz von Microsoft Defender oder alternativen XDR-Lösungen wie Crowdstrike.

Diese sollen helfen, Post-Exploitation-Aktivitäten zu erkennen, wie etwa die folgenden Taktiken:

  • Lateral Movement
  • Credential Access
  • Command & Control (C2)

Wichtig ist laut Microsoft zudem auch die Machine-keys zu rotieren und den IIS Server im Anschluss neuzustarten.

📚 Lessons Learned

Der Angriff zeigt erneut, wie wichtig ein ganzheitliches Sicherheitskonzept ist:

Ein 24/7 Security Operations Center (SOC) ist in der heutigen Bedrohungslage unverzichtbar, insbesondere dann wenn auch zu Randzeiten eine effektive und zeitnahe Incident Response gefragt ist.

Moderne XDR-Lösungen sind notwendig, um auch nicht-standardisierte Angriffe zu erkennen – auch solche, die sich nicht direkt auf MITRE ATT&CK abbilden lassen.

Wie Bruce Schneier, renommierter IT-Security Autor schon treffend formulierte:
“You can’t defend, you can’t protect. You can only detect and respond.”

Diese Realität stellt zentrale Fragen für jede Organisation:

  • Kann ich Lateral Movement rechtzeitig erkennen?
  • Kann ich Post-Exploit-Aktivitäten detektieren?
  • Bin ich in der Lage, Exfiltration frühzeitig zu identifizieren?

🎯 Fazit

Es bleibt ein Spiel zwischen Angreifern und Verteidigern:
Während Angreifer die gesamte Cyber Kill Chain unentdeckt durchlaufen müssen, genügt auf der Verteidigerseite eine einzige rechtzeitige Erkennung, um die Angriffskette frühzeitig zu durchbrechen.

Eines ist sicher:
So schnell dieser Angriff aus den Schlagzeilen verschwindet, steht der nächste schon in den Startlöchern welche die Verteidigungs-Massnahmen vieler Unternehmen erneut auf die Probe stellen wird.

Mit einer klaren DR-Strategie, gezielten Konfigurationsschritten und einer durchdachten Fallback-Lösung kann Zscaler Unternehmen dabei unterstützen, auch bei unerwarteten Cloud-Ausfällen handlungsfähig zu bleiben und ihre Sicherheitsstandards aufrechtzuerhalten.

Sollten während des Lesens des Blog-Artikels weitere technische Detailfragen aufgekommen sein, sei es zu Integrationsszenarien oder spezifischen Herausforderungen, kontaktieren Sie gerne das AVANTEC Team.

Weiterführende Links & Quellen

Cyber Defense Center / SOC

Managed Detection & Response: Tag und Nacht geschützt mit AVANTEC

Endpoint Security

Mr. Robot

Mr. Robot ist Security Engineer bei AVANTEC. Seine IT-Interessen sind Firewalls und Angriffsvektoren. Seine Freizeit verbringt er am liebsten mit Wandern, Lesen und Sport treiben.

Kommentieren

Privacy Preference Center

Privacy Preferences