Blog
Sicherheitslücke SharePoint
Gefährliche Sicherheitslücken in On-Prem-Instanzen von SharePoint 2016/2019 und SE
Achtung: Aktive Angriffe auf lokale SharePoint Server-Kunden!
Microsoft hat am Wochenende eine Warnung vor zwei gefährlichen Sicherheitslücken in On-Prem-Instanzen von SharePoint herausgegeben. Eine davon wird bereits aktiv ausgenutzt, ist als kritisch eingestuft und ermöglicht Angreifer*innen, eigenen Code auf anfälligen Instanzen aus der Ferne auszuführen.
Betroffen sind laut Microsoft:
- SharePoint Server 2016, 2019 und die Subscription Edition
- SharePoint Online soll hingegen nicht angreifbar sein.
- Nicht dokumentiert hingegen ist das potentielle Risiko für SharePoint 2013!
Da stark davon auszugehen ist, dass der Angriff auch auf diesen Servern möglich ist – zumal diese schon „out of support“ sind und KEINE Security Patches mehr erhalten – sollten auch hier umgehend Maßnahmen ergriffen werden, um sie zumindest temporär vom Internet abzuschneiden.
Wichtig!
Microsoft weist zudem ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net “Machine Keys” rotiert werden müssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell finden Sie entsprechende Powershell-Commandlets.
Das Sicherheitsunternehmen Eye Security hält in seinem Blog eine ausführliche Analyse nebst Zeitstrahl vor – demnach begann die Ausnutzung der Lücke in der Nacht vom 18. auf den 19. Juli und seitdem sind wohl schon Dutzende Systeme kompromittiert worden!
Was sind die nächsten Schritte?
- Microsoft hat am 20. Juli Sicherheitsupdates veröffentlicht, die Kunden, die SharePoint Subscription Edition und SharePoint 2019 verwenden, vollständig vor den Risiken von CVE-2025-53770 und CVE-2025-53771 schützen. Kunden sollten diese Updates sofort installieren.
- SharePoint-Administrator*innen wird empfohlen, auf den SharePoint-Computern nach einer Datei mit dem Namen spinstall0.aspx im Verzeichnis […\16\TEMPLATE\LAYOUTS] zu suchen. Wenn diese Datei existiert, sind die Maschinen höchstwahrscheinlich bereits betroffen!
- Customer Guidance for SharePoint Vulnerability CVE-2025-53770 | MSRC Blog | Microsoft Security Response Center
Weitere bereits veröffentlichte Posts zum Thema:
- Zero-Day-Lücke: Hacker attackieren massenhaft Microsoft-Sharepoint-Instanzen – Golem.de
- Kritische Sharepoint-Sicherheitslücke: Erste Patches für „ToolShell“ sind da | heise online
- IMPORTANT: Active attacks targeting on-premises SharePoint Server customers – Stefan Goßner
- CVE-2025-53770 – Security Update Guide – Microsoft – Microsoft SharePoint Server Remote Code Execution Vulnerability
- CVE-2025-53771 – Security Update Guide – Microsoft – Microsoft SharePoint Server Spoofing Vulnerability
Bis bald,
euer Steve
Kontakt
Sie benötigen Unterstützung?
Nehmen Sie hier Kontakt zu unserem Expertenteam auf!
