{"id":313729,"date":"2025-07-21T10:16:13","date_gmt":"2025-07-21T08:16:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313729"},"modified":"2025-07-22T17:00:23","modified_gmt":"2025-07-22T15:00:23","slug":"sharepoint-notfall-updates-fuer-0-day-schwachstelle-cve-2025-53770","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/21\/sharepoint-notfall-updates-fuer-0-day-schwachstelle-cve-2025-53770\/","title":{"rendered":"SharePoint-Notfall-Updates f\u00fcr 0-day Schwachstelle (CVE-2025-53770)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" alt=\"Update\" align=\"left\" border=\"0\" \/>Seit dem 18. Juli 2025 werden weltweit SharePoint-Server \u00fcber die zum 14. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 angegriffen. Aber es gibt eine weitere 0-day-Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a> (eine Variante von CVE-2025-49706), die bisher ungepatcht war (CVSS 3.1 9.8), die auch angegriffen wird. Hier noch einige Informationen zum Notfall-Update und die Implikationen, die sich f\u00fcr einem per Internet erreichbaren SharePoint-Server ergeben. Auch hier ist es wieder ein \"Work in Progress\", d.h. der Artikel wird ggf. mehrfach erg\u00e4nzt.<\/p>\n<p><!--more--><\/p>\n<h2>Kurzer R\u00fcckblick auf das Thema<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/e2b003c81fb34f62b5f45c3486747252\" alt=\"\" width=\"1\" height=\"1\" \/>Seit vorigen Freitag, den 18. Juli 2025, beobachten diverse Sicherheitsfirmen massive Angriffsversuche auf Microsoft SharePoint-Server, die per Internet erreichbar waren. Unklar war zu diesem Zeitpunkt, was genau das Ziel war bzw. es genau an Schwachstellen ausgenutzt werden sollte. Es war von einem ToolShell-Angriff die Rede, und es wurden diverse Schwachstellen genannt.<\/p>\n<ul>\n<li>Der f\u00fcr Angriffe verwendete Exploit nutzt laut diversen Berichten die Schwachstellen CVE-2025-49704 und CVE-2025-49706. Diese waren seit Mai 2025 von der Pwn2Own in Berlin bekannt, aber am 8. Juli 2025 per Sicherheitsupdate gepatcht worden.<\/li>\n<li>Sp\u00e4ter gab es die Erkenntnis, dass ein 0-day-Exploit f\u00fcr Angriffe genutzt wurde, der zwei bisher \u00f6ffentlich nicht bekannte Schwachstellen CVE-2025-53770 und \u00a0CVE-2025-53771 kombiniert. Hier gab es keinen Sicherheitsupdates zum Schlie\u00dfen der Schwachstellen.<\/li>\n<\/ul>\n<p>Meinen Informationen nach sind \u00fcber 85 Infektionen von SharePoint-Servern diverser Organisationen weltweit bekannt. Microsoft hatte zum 19. Juli 2025 bereits einen Beitrag zur Schwachstelle\u00a0<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a> publiziert, initial aber keinen Patch angeboten.<\/p>\n<p>Schutz vor der Schwachstelle war einmal, die SharePoint-Server vom Internet zu isolieren. Zudem schrieb Microsoft, dass Kunden, die die AMSI-Integrationsfunktion aktiviert haben und den Microsoft Defender f\u00fcr ihre SharePoint Server-Farm(s) verwenden, vor dieser Sicherheitsl\u00fccke gesch\u00fctzt seien.<\/p>\n<h2>Es gibt einen Notfall-Patch<\/h2>\n<p>Microsoft hat zum 19. \/ 20. Juli 2025 Notfall-Patches f\u00fcr einzelne SharePoint-Server-Versionen ver\u00f6ffentlich. Details habe ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/07\/20\/sharepoint-server-werden-ueber-0-day-schwachstelle-cve-2025-53770-angegriffen\/\">Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> nachgetragen. Stand 21. Juli 2025, 18:14 Uhr, weist die Microsoft Seite f\u00fcr die Schwachstelle\u00a0<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a> aber noch keinen Patch f\u00fcr Microsoft SharePoint Server 2016 aus.<\/p>\n<h2>Die Implikationen aus dem Vorfall<\/h2>\n<p>Tenable hat sich im Nachgang vor wenigen Minuten bei mir gemeldet und einige weitere Informationen nachgeliefert. Deren Einsch\u00e4tzung lautet, dass die aktive Ausnutzung der SharePoint Zero-Day-Schwachstelle am vergangenen Wochenende f\u00fcr betroffene Unternehmen weitreichende Folgen haben d\u00fcrfte.<\/p>\n<p>Denn die Angreifer konnten die inzwischen als CVE-2025-53770 identifizierte Schwachstelle ausnutzen, um MachineKey-Konfigurationsdetails von verwundbaren SharePoint Servern abzugreifen. Darunter befindet sich sowohl der <em>validationKey<\/em> als auch der <em>decryptionKey.<\/em><\/p>\n<p>Diese Informationen erm\u00f6glichen es Angreifern, speziell pr\u00e4parierte Anfragen zu generieren, die potenziell zu nicht authentifizierter Remote Code Execution auf den betroffenen SharePoint-Servern f\u00fchren k\u00f6nnen. Man sieht dann in den Log-Dateien nichts.<\/p>\n<p>Unternehmen, die m\u00f6glicherweise betroffen sind, bleibt in dieser Situation nur, aktiv nach Hinweisen auf eine Kompromittierung (Indicators of Compromise; IoC) zu suchen. Zu den IoCs z\u00e4hlt insbesondere eine Datei namens <em>spinstall0.aspx<\/em>, die auf den angegriffenen Systemen erstellt wurde. Dabei gibt es gegebenenfalls eine abweichende Dateierweiterung.<\/p>\n<p>Laut Tenable ist die Angriffsfl\u00e4che dieser Schwachstelle betr\u00e4chtlich: \u00dcber 9.000 SharePoint Instanzen sind weltweit direkt aus dem Internet erreichbar. Diese Instanzen kommen in den unterschiedlichsten Unternehmen zum Einsatz.<\/p>\n<p>Auch Tenable best\u00e4tigt, was ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/07\/20\/sharepoint-server-werden-ueber-0-day-schwachstelle-cve-2025-53770-angegriffen\/\">Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> schrittweise aufbereitet hatte: Microsoft hat\u00a0 zwar am sp\u00e4ten 20. Juli mit der Bereitstellung von Sicherheitsupdates begonnen. Es gibt aber nur Patches f\u00fcr SharePoint Server 2019 sowie die SharePoint Subscription Edition. Ein Patch f\u00fcr SharePoint Server 2016 steht aktuell noch aus, soll jedoch in K\u00fcrze folgen.<\/p>\n<p>Die Sicherheitsexperten von Tenable raten Unternehmen dringend, umgehend Incident-Response-Ma\u00dfnahmen einzuleiten, um m\u00f6gliche Kompromittierungen zu identifizieren. Wo noch keine Angriffe festgestellt wurden, sollten die verf\u00fcgbaren Sicherheitsupdates installiert und die von Microsoft empfohlenen Behebungsma\u00dfnahmen umgesetzt werden, schreibt Tenable.<\/p>\n<p>F\u00fcr interessierte Leser: Tenable hat mir noch den Link auf deren Blog-Beitrag\u00a0<a href=\"https:\/\/www.tenable.com\/blog\/cve-2025-53770-frequently-asked-questions-about-zero-day-sharepoint-vulnerability-exploitation\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770: Frequently Asked Questions About Zero-Day SharePoint Vulnerability Exploitation<\/a> geschickt. Der Beitrag best\u00e4tigt, was ich bereits in meinem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/07\/20\/sharepoint-server-werden-ueber-0-day-schwachstelle-cve-2025-53770-angegriffen\/\">Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> zusammen getragen hat, kann aber als erg\u00e4nzende Sichtweise aus einem zweiten Blickwinkel benutzt werden.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/20\/sharepoint-server-werden-ueber-0-day-schwachstelle-cve-2025-53770-angegriffen\/\">Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/21\/sharepoint-notfall-updates-fuer-0-day-schwachstelle-cve-2025-53770\/\">SharePoint-Notfall-Updates f\u00fcr 0-day Schwachstelle (CVE-2025-53770)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/22\/patch-fuer-sharepoint-server-2016-china-hinter-angriffen-ca-100-organisationen-kompromittiert\/\">Patch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 100 Organisationen kompromittiert<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit dem 18. Juli 2025 werden weltweit SharePoint-Server \u00fcber die zum 14. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 angegriffen. Aber es gibt eine weitere 0-day-Schwachstelle CVE-2025-53770 (eine Variante von CVE-2025-49706), die bisher ungepatcht war (CVSS 3.1 9.8), die auch &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/07\/21\/sharepoint-notfall-updates-fuer-0-day-schwachstelle-cve-2025-53770\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[7238,4328,4315],"class_list":["post-313729","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sharepoint","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313729"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313729\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}