{"id":313714,"date":"2025-07-20T09:14:56","date_gmt":"2025-07-20T07:14:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313714"},"modified":"2025-07-22T17:00:03","modified_gmt":"2025-07-22T15:00:03","slug":"sharepoint-server-werden-ueber-0-day-schwachstelle-cve-2025-53770-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/20\/sharepoint-server-werden-ueber-0-day-schwachstelle-cve-2025-53770-angegriffen\/","title":{"rendered":"Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Betreibt jemand aus der Leserschaft einen SharePoint-Server, der per Internet erreichbar ist? Dann ist m\u00f6glicherweise die H\u00fctte am Brennen. Seit gestern erhalte ich Informationen, dass SharePoint-Server seit dem 18. Juli 2025 \u00fcber 0-day Exploits angegriffen werden. Anmerkung: Der Beitrag wurde und wird dynamisch erg\u00e4nzt. Es gibt inzwischen einen Patch.<\/p>\n

<\/p>\n

Ein Leserhinweis vom 19.7.<\/h2>\n

\"\"Ein Blog-Leser hat mich Samstag, den 19. Juli 2025 \u00fcber eine private Nachricht auf Facebook \u00fcber Angriffe auf On-Premise SharePoint-Server informiert.<\/p>\n

\"Attacks<\/p>\n

Sophos stellte seit dem 18. Juli 2025 Angriffe auf die SharePoint-Instanzen \u00fcber den ToolShell-Exploit fest. Der Exploit nutzt CVE-2025-49704 und CVE-2025-49706 aus und wurde im Mai 2025 auf der Pwn2Own in Berlin \u00f6ffentlich. Die Code White GmbH hat in diesem Tweet<\/a> bereits zum 14.7.2025 mitgeteilt, dass man diese Exploit-Kette nachvollziehen k\u00f6nne.<\/p>\n

Aber diese Schwachstellen, die gem\u00e4\u00df obiger Meldung massiv angegriffen werden, sind nicht das wirkliche Problem. Denn\u00a0Microsoft hat bereits zum 8. Juli 2025 Sicherheitsupdates f\u00fcr diese Schwachstellen ver\u00f6ffentlicht. Diese Schwachstelle ist also bei gepatchten SharePoint-Servern abger\u00e4umt. Ich hatte das nicht zeitnah aufgegriffen, sondern wollte es in Ruhe analysieren.<\/p>\n

Auch Unit42 berichtet in einem Tweet<\/a>, dass man eine aktive globale Ausnutzung der kritischen Microsoft SharePoint-Schwachstellen CVE-2025-49704 und CVE-2025-49706 beobachte.<\/p><\/blockquote>\n

Angriffe \u00fcber Schwachstelle CVE-2025-53770<\/h2>\n

Inzwischen \u00fcberschlagen sich die Meldungen im Internet, dass Angriffe auf SharePoint \u00fcber die Schwachstelle CVE-2025-53770<\/a> (eine Variante von CVE-2025-49706, oben erw\u00e4hnt) erfolgen. Und es gibt noch eine Schwachstelle CVE-2025-53771, die ebenfalls beim Angriff ausgenutzt wird.<\/p>\n

Bei\u00a0CVE-2025-53770 handelt es sich um ein Problem in der Deserialisierung von nicht vertrauensw\u00fcrdigen Daten in lokalem Microsoft SharePoint Servern. Dies erm\u00f6glicht es einem nicht autorisierten Angreifer, Code \u00fcber ein Netzwerk auszuf\u00fchren.<\/p>\n

WatchTower hat eine Warnung auf X ver\u00f6ffentlicht<\/a> und schreibt, dass es Angriffe \u00fcber CVE-2025-53770<\/a> auf SharePoint-Server gebe:<\/p>\n

Ein SharePoint-Zero-Day (CVE-2025-53770) wird derzeit aktiv ausgenutzt, wobei Angreifer MachineKey-Geheimnisse stehlen, um __VIEWSTATE zu f\u00e4lschen und RCE aufrechtzuerhalten. Es gibt keinen Patch.<\/p>\n

Wenn Sie SharePoint dem Internet aussetzen, gehen Sie von einer Sicherheitsverletzung aus.<\/p><\/blockquote>\n

Shadow-Server hat hier<\/a> eine \u00dcbersicht angreifbarer Instanzen gepostet.\u00a0Das gro\u00dfe Problem: Microsoft ist bekannt, dass ein Exploit f\u00fcr CVE-2025-53770<\/a> in freier Wildbahn existiert. Betroffen sind SharePoint 2019, SharePoint Subscription Edition und SharePoint Enterprise Server 2016.<\/p>\n

Es gibt aber noch keinen Patch f\u00fcr die Schwachstelle. Microsoft bereitet derzeit ein umfassendes Update zur Behebung dieser Schwachstelle vor und testet es dieses noch. Eine Beschreibung samt Hinweise zur Abschw\u00e4chung (Mitigation) findet sich unter CVE-2025-53770<\/a>. Die Schwachstelle erhielt \u00fcbrigens den CVSS 3.1 wert von 9.8. Zur Schwachstelle hei\u00dft es bei Microsoft:<\/p>\n

Customers who have enabled the AMSI integration feature and use Microsoft Defender across their SharePoint Server farm(s) are protected from this vulnerability<\/p><\/blockquote>\n

Also die AMSI-Integration und der Microsoft Defender sollen sch\u00fctzen. Erg\u00e4nzung: Auch heise hat diesen Artikel<\/a> zum Thema publiziert. Eye Research beschreibt in diesem Blog-Beitrag<\/a> den ToolShell-Angriff \u00fcber die Schwachstelle. Bleeping Computer hat es hier<\/a> ebenfalls aufgegriffen, und schreibt, dass mehr als 85 SharePoint-Server weltweit als kompromittiert gefunden wurden. Dort war eine Webshell installiert.<\/p>\n

Updates f\u00fcr verschiedene SharePoint-Versionen<\/h2>\n

Erg\u00e4nzung 1<\/strong>: In der Nacht vom 20. auf den 21. Juli 2025 hat Microsoft inzwischen Sicherheits-Updates f\u00fcr Microsoft SharePoint Server Subscription Edition<\/a> und Microsoft SharePoint Server 2019<\/a> ver\u00f6ffentlicht. Microsoft SharePoint Server 2016 fehlt derzeit noch, wie man im Supportbeitrag f\u00fcr CVE-2025-53770<\/a> nachpr\u00fcfen kann.<\/p>\n

\"SharePoint<\/a><\/p>\n

Allerdings ist die gesamte Geschichte recht verwirrend dokumentiert. Bei den Details f\u00fcr den Downloads des Update f\u00fcr Microsoft SharePoint Server 2019 wird behauptet, dass es auch f\u00fcr Microsoft SharePoint Server 2016 gelte, w\u00e4hrend obige Tabelle noch kein Update f\u00fcr diese Version vorgibt.<\/p>\n

Es gibt von Microsoft zudem den Support-Beitrag\u00a0Customer guidance for SharePoint vulnerability CVE-2025-53770<\/a> vom 19. Juli 2025, wo noch einige Informationen eingepflegt wurden. Dort findet sich auch eine Verlinkung zu folgenden Beitr\u00e4gen:<\/p>\n