Blog

Sicherheitslücke SharePoint

Gefährliche Sicherheitslücken in On-Prem-Instanzen von SharePoint 2016/2019 und SE

21. Juli 2025
Picture of Steve Chen
Steve Chen

Achtung: Aktive Angriffe auf lokale SharePoint Server-Kunden!

Microsoft hat am Wochenende eine Warnung vor zwei gefährlichen Sicherheitslücken in On-Prem-Instanzen von SharePoint herausgegeben. Eine davon wird bereits aktiv ausgenutzt, ist als kritisch eingestuft und ermöglicht es Angreifern, aus der Ferne eigenen Code auf anfälligen Instanzen auszuführen. 

Betroffen sind laut Microsoft:

  • Sharepoint Server 2016, 2019 und die Subscription Edition.
  • Sharepoint Online soll hingegen nicht angreifbar sein.
  • Nicht dokumentiert hingegen ist das potentielle Risiko für SharePoint 2013!

Da jedoch auch hier stark davon auszugehen ist, dass der Angriff auch auf diesen Servern möglich ist, zumal diese schon „out of support“ sind somit KEINE Security Patches mehr erhalten!  Sollten auch hier umgehend Massnahmen ergriffen werden und diese Server zumindest temporär vom Internet abzuschneiden!

Was kann aktuell getan werden?

Folgende Updates sind bereits verfügbar:

  • KB5002768 – für SharePoint Server Subscription Edition
  • KB5002754 – für SharePoint Server 2019
  • SharePoint 2016 bleibt vorerst noch ohne Update!! 

Wichtig!

Microsoft weist zudem ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net „Machine Keys“ rotiert werden müssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell finden sich entsprechende Powershell-Commandlets.

Das Sicherheitsunternehmen Eye Security hält in seinem Blog eine ausführliche Analyse nebst Zeitstrahl vor – demnach begann die Ausnutzung der Lücke in der Nacht vom 18. auf den 19. Juli und Dutzende Systeme sind seitdem wohl schon kompromittiert worden!

Was sind die nächsten Schritte?

  • Microsoft hat am 20. Juli Sicherheitsupdates veröffentlicht, die Kunden, die SharePoint Subscription Edition und SharePoint 2019 verwenden, vollständig vor den Risiken von CVE-2025-53770und CVE-2025-53771 schützen. Kunden sollten diese Updates sofort installieren, um sicherzustellen, dass sie geschützt sind.
  • SharePoint-Administratoren wird empfohlen, auf den SharePoint-Computern nach einer Datei mit dem Namen spinstall0.aspx im Verzeichnis  […\16\TEMPLATE\LAYOUTS]  zu suchen. Wenn diese Datei existiert, sind die Maschinen höchstwahrscheinlich bereits betroffen!
  • Customer guidance for SharePoint vulnerability CVE-2025-53770 | MSRC Blog | Microsoft Security Response Center

Siehe alle weiteren, dazu bislang veröffentlichen Posts hier:

Bis bald,
euer Steve

Kontakt

Sie benötigen Unterstützung?

Nehmen Sie hier Kontakt zu unseren Experten auf!

Verschlagwortet ,

Kontakt

Entfesseln Sie Ihr Cloud-Potenzial mit Skaylink

Kontakt

Skaylink ist der führende Spezialist für die digitale Transformation und die Cloud in Europa. Mit unserer breitgefächerten Cloud-Expertise, bewährten Frameworks, erprobten Best Practices, innovativer Methodik und verschiedenen Software-Tools realisieren wir die digitale Transformation für Kunden aus allen Branchen und Ländern – schnell, sicher und compliant.

Welches Ziel steht am Ende Ihrer Cloud Journey? Nehmen Sie Skaylink mit auf die Reise.

Lösungen
Cloud-Technologien
Über Skaylink
Folgen
Kontakt

Skaylink GmbH
Parkring 29
85748 Garching b. München
Deutschland

+49 89 324756-0
sales@skaylink.com

© 2025 Skaylink. All Rights Reserved.