{"id":313918,"date":"2025-07-25T01:42:47","date_gmt":"2025-07-24T23:42:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313918"},"modified":"2025-07-26T07:29:48","modified_gmt":"2025-07-26T05:29:48","slug":"sharepoint-server-0-day-schwachstelle-ueber-400-opfer-warlock-ransomware-infektionen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/25\/sharepoint-server-0-day-schwachstelle-ueber-400-opfer-warlock-ransomware-infektionen\/","title":{"rendered":"Sharepoint Server 0-Day-Schwachstelle: \u00fcber 400 Opfer, Warlock-Ransomware-Infektionen"},"content":{"rendered":"

\"Sicherheit[English]Langsam wird das Ausma\u00df der beobachteten Angriffswelle auf 0-Day-Schwachstellen in Microsoft SharePoint sichtbar. Microsoft hat inzwischen zwar Notfall-Updates f\u00fcr SharePoint Server freigegeben.\u00a0 Mittlerweile ist aber bekannt, dass \u00fcber 400 Organisation wohl kompromittiert wurden. Und es steht fest, dass Angreifer die SharePoint Server auch mit Ransomware infizieren. In einer Nachlese fasse ich die neuen Informationen kurz zusammen.<\/p>\n

<\/p>\n

Der 0-Day-Exploit und Angriffe seit 18.7.2025<\/h2>\n

\"\"Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verst\u00e4rkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzte, gab es noch weitere ungepatchte 0-Day-Schwachstellen (CVE-2025-53770<\/a>\u00a0und\u00a0CVE-2025-53771<\/a>).<\/p>\n

Diese wurden im Laufe des Freitags bzw. Samstags durch einen Exploit angegriffen wurden. Ich hatte die Entwicklung im Blog-Beitrag\u00a0Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> nachgezeichnet. Inzwischen hat Microsoft Sonderupdates f\u00fcr diverse SharePoint Server-Versionen ver\u00f6ffentlicht, um die Schwachstellen zu schlie\u00dfen (siehe Patch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert<\/a>).<\/p>\n

\u00dcber 400 Organisationen kompromittiert<\/h2>\n

So langsam wird das Ausma\u00df des Ganzen sichtbar. Waren bis zum letzten Wochenende \u00fcber 80 Opfer bekannt, erh\u00f6hte sich deren Zahl bald auf 100. Darunter befindet sich laut\u00a0Bloomberg<\/a> auch die US-Atomwaffenbeh\u00f6rde.\u00a0Die neueste Zahl der Kompromittierungen liegt bei \u00fcber 400 Opfern, wie The Register hier<\/a> berichtet. Die meisten betroffenen Systeme befinden sich in den USA und in Deutschland.<\/p>\n

Hinweise von ESET Research<\/h3>\n

ESET Research hat in einer Reihe von Tweets<\/a> die Entwicklung nachgezeichnet. Erste Angriffe \u00fcber einen Exploit, der die verketteten Schwachstellen ausnutzt, wurden am 17. Juli 2025 beobachtet. Die erste WebShell wurde von Angreifern am 18. Juli 2025 als Nutzlast auf Systeme in Italien ausgeliefert.<\/p>\n

\"ESET<\/a><\/p>\n

ESET Research hat\u00a0mehrere IP-Adressen entdeckt, die bei den Angriffen vom 17. bis 22. Juli 2025 verwendet wurden. Der ToolShell-Exploit wird aber von allen m\u00f6glichen Bedrohungsakteuren, von kleinen Cyberkriminellen bis hin zu staatlich gef\u00f6rderten Gruppen, darunter auch chinesische APTs, ausgenutzt.<\/p>\n

Die Sicherheitsforscher haben ihre Erkenntnisse zum 24. Juli 2025 im Blog-Beitrag ToolShell: An all-you-can-eat buffet for threat actors<\/a> zusammen gefasst. Im Beitrag gibt es Details zu ToolShell, zu den Anzeichen einer Kompromittierung (Indicator of Compromise, IoC), eine Liste der IP-Adressen, von denen Angriffe ausgehen, sowie Hinweise zu Gegenma\u00dfnahmen. Administratoren von SharePoint-Servern sollten die Gegenma\u00dfnahmen sowie die Hinweise, wie eine Kompromittierung festgestellt werden kann, lesen.<\/p>\n

Ein\u00a0Exploit-Modul f\u00fcr Penetrationstests, entwickelt von Rapid 7, welches die oben erw\u00e4hnten Schwachstellen ausnutzt, ist auf GitHub beschrieben<\/a>.<\/bdi><\/p><\/blockquote>\n

Microsoft liefert Erkenntnisse: Warlock-Ransomware-Infektionen<\/h3>\n

Microsoft hatte bereits zum 22. Juli 2025 den Blog-Beitrag Disrupting active exploitation of on-premises SharePoint vulnerabilities<\/a> mit mehr Details zu den oben erw\u00e4hnten Schwachstellen, Hinweisen zur Kompromittierung sowie zur Analyse und Gegenma\u00dfnamen ver\u00f6ffentlicht.<\/p>\n

Microsoft schriebt, dass man zum Zeitpunkt der Erstellung des Beitrags bereits zwei chinesische Akteure, Linen Typhoon und Violet Typhoon, beobachtet habe, die diese Schwachstellen bei per Internet erreichbaren SharePoint-Server ausnutzen.\u00a0Dar\u00fcber hinaus haben Sicherheits-Experten von Microsoft beobachtet, dass ein weiterer in China ans\u00e4ssiger Bedrohungsakteur (Storm-2603), diese Schwachstellen ausnutzt.<\/p>\n

\"Microsoft<\/p>\n

Zum 24. Juli 2025 hat Microsoft Thread Intelligence in obigem Tweet<\/a> auf eine Aktualisierung des Artikels Disrupting active exploitation of on-premises SharePoint vulnerabilities<\/a> vom 23. Juli 2025 hingewiesen.<\/p>\n

Die kontinuierliche \u00dcberwachung der Exploit-Aktivit\u00e4ten von Storm-2603 samt einer erweiterten Analyse hat zur Entdeckung des\u00a0Einsatzes der Ransomware Warlock auf kompromittierten Systemen gef\u00fchrt. Microsoft hat dann auf Grundlage dieser neuen Informationen die Abschnitte Attribution,<\/em> Indikatoren f\u00fcr Kompromittierung<\/em>, und Erweiterte und pr\u00e4zisiertere Empfehlungen zur Schadensbegrenzung und zum Schutz<\/em> aktualisiert. Administratoren von SharePoint-Servern sollten sich diesen Artikel sowie den obigen ESET Research-Beitrag durchlesen und die Empfehlungen abarbeiten.<\/p>\n

Microsoft SharePoint 365, also die Online-Version dieser Software scheint von den 0-day-Schwachstellen nicht betroffen zu sein.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nSharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a>
\nSharePoint-Notfall-Updates f\u00fcr 0-day Schwachstelle (CVE-2025-53770)<\/a>
\nPatch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Langsam wird das Ausma\u00df der beobachteten Angriffswelle auf 0-Day-Schwachstellen in Microsoft SharePoint sichtbar. Microsoft hat inzwischen zwar Notfall-Updates f\u00fcr SharePoint Server freigegeben.\u00a0 Mittlerweile ist aber bekannt, dass \u00fcber 400 Organisation wohl kompromittiert wurden. Und es steht fest, dass Angreifer die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4715,7238,4328],"class_list":["post-313918","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-ransomware","tag-sharepoint","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313918"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313918\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}