![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English<\/a>]Noch ein Nachtrag zur 0-Day-Schwachstelle in Microsoft SharePoint sowie der beobachteten Angriffswelle. Microsoft hat auch f\u00fcr SharePoint Server 2016 ein Notfall-Update freigegeben. Inzwischen gibt es Meldungen, dass ein Teil der Angriffe \u00fcber einen 0-day-Exploit aus China kamen. Und \u00fcber 400 Organisation wurden (inzwischen) wohl kompromittiert, wobei die USA und Deutschland am meisten betroffen sind. Zwischenzeitlich hat auch Microsoft einen ausf\u00fchrlicheren Blog-Beitrag ver\u00f6ffentlicht. Hier eine Nachlese mit einer Zusammenfassung.<\/p>\n<\/p>\n
Der 0-Day-Exploit und die Angriffe<\/h2>\n
Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verst\u00e4rkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzt (ToolShell-Exploit), war schnell klar, dass es noch etwas anderes geben m\u00fcssen.<\/p>\n
Im Laufe des Freitags bzw. Samstags wurde klar, dass es weitere ungepatchte 0-Day-Schwachstellen (CVE-2025-53770<\/a> und\u00a0CVE-2025-53771<\/a>) geben musste, die durch einen Exploit angegriffen wurden. Ich hatte die Entwicklung im Blog-Beitrag Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> nachgezeichnet.<\/p>\n Bereits Sonntag war klar, dass so um die 85 Organisationen mit ihren SharePoint-Servern kompromittiert worden sind. Nun schreibt Reuters hier<\/a> (heise hat den Volltext hier<\/a>), dass bereits am Wochenende etwa 100 Unternehmen \u00fcber ihre SharePoint-Instanzen, die per Internet erreichbar waren, kompromittiert wurden. Die neueste Zahl liegt bei \u00fcber 400 Opfern, wie The Register hier<\/a> berichtet.<\/p>\n Die meisten Betroffenen finden sich in den USA und in Deutschland, wobei sich auch Regierungsorganisationen unter den Opfern finden. Da d\u00fcrften weitere Folgehacks drohen und es sind umfangreiche Aktionen zum Aufr\u00e4umen sowie Absichern erforderlich. Erg\u00e4nzung: Laut Bloomberg<\/a> geh\u00f6rt die US-Atomwaffenbeh\u00f6rde zu den Opfern des Microsoft SharePoint-Hacks. Es sollen aber keine sensitiven und klassifizierten Informationen abgeflossen sein.<\/p>\n Von Mandiant ist mir einen Information zugegangen, dass die Schwachstellen zwar von mehreren Akteuren angegriffen wurden und werden. Die Sicherheits-Experten der Google-Tochter von Mandiant gehen davon aus, dass es sich bei mindestens einem der f\u00fcr diese fr\u00fche Ausnutzung verantwortlichen Akteure um einen Bedrohungsakteur mit chinesischem Hintergrund handelt.<\/p>\n Microsoft hat zum 22. Juli 2025 den Blog-Beitrag\u00a0Disrupting active exploitation of on-premises SharePoint vulnerabilities<\/a> ver\u00f6ffentlicht. Dort werden nicht nur die oben erw\u00e4hnten Schwachstellen und deren Ausnutzung angesprochen. Microsoft schreibt, dass man zum Zeitpunkt der Erstellung des Beitrags bereits zwei chinesische Akteure, Linen Typhoon und Violet Typhoon, beobachtet habe, die diese Schwachstellen bei per Internet erreichbaren SharePoint-Server ausnutzen.<\/p>\n Dar\u00fcber hinaus haben Sicherheits-Experten von Microsoft beobachtet, dass ein weiterer in China ans\u00e4ssiger Bedrohungsakteur (Storm-2603), diese Schwachstellen ausnutzt. Die Ermittlungen zu anderen Akteuren, die diese Schwachstellen ebenfalls ausnutzen, sind noch nicht abgeschlossen. Angesichts der raschen Verbreitung dieser Sicherheitsl\u00fccken geht Microsoft davon aus, dass Bedrohungsakteure sie auch weiterhin in ihre Angriffe auf ungepatchte lokale SharePoint-Systeme integrieren werden. Der Microsoft-Beitrag enth\u00e4lt sehr viele Details, auch zu Hinweisen auf eine Kompromittierung. Dabei sollten Administratoren die Hinweise unter\u00a0Mitigation and protection guidance beachten.<\/p>\n Microsoft hatte die Schwachstellen ab dem 19. Juli 2025 im Customer guidance for SharePoint vulnerability CVE-2025-53770<\/a> sowie in den oben verlinkten CVE-Beitr\u00e4gen dokumentiert.\u00a0Zum 20. Juli 2025 wurden Microsoft Sicherheits-Updates f\u00fcr Microsoft SharePoint Server Subscription Edition<\/a> und Microsoft SharePoint Server 2019<\/a> ver\u00f6ffentlicht. Zum 21. Juli 2025 wurden dann Notfall-Updates f\u00fcr SharePoint 2016 zum Schlie\u00dfen der Schwachstellen nachgereicht. Hier nochmals die Liste aller Updates:<\/p>\nUm die 400 Opfer, Angriffe aus China<\/h2>\n
Hinweise von Mandiant<\/h3>\n
Details von Microsoft<\/h3>\n
Update f\u00fcr SharePoint 2016 nachgereicht<\/h2>\n