{"id":313976,"date":"2025-07-26T07:44:17","date_gmt":"2025-07-26T05:44:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313976"},"modified":"2025-08-05T22:58:42","modified_gmt":"2025-08-05T20:58:42","slug":"microsoft-untersucht-ob-sharepoint-0-day-vorab-an-hacker-geleakt-wurde","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/26\/microsoft-untersucht-ob-sharepoint-0-day-vorab-an-hacker-geleakt-wurde\/","title":{"rendered":"Microsoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Konnten mutma\u00dflich chinesische Hacker vorab auf interne Beschreibungen von 0-Day-Schwachstellen in Microsoft SharePoint Server zugreifen, bevor diese am vorigen Wochenende ausgenutzt wurden? Microsoft untersucht jedenfalls, ob es ein Leak in internen Systemen gab, wo solche Informationen gespeichert sind.<\/p>\n

<\/p>\n

Angriff auf SharePoint per 0-Day-Schwachstellen<\/h2>\n

\"\"Seit dem 18. Juli 2025 haben diverse Sicherheitsanbieter wie Sophos etc. verst\u00e4rkte Angriffswellen auf Microsoft SharePoint-Server, die per Internet erreichbar sind, beobachtet. Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzte, gab es noch weitere ungepatchte und unbekannte 0-Day-Schwachstellen (CVE-2025-53770<\/a>\u00a0und\u00a0CVE-2025-53771<\/a>).<\/p>\n

Diese wurden im Laufe des Freitags bzw. Samstags durch einen Exploit angegriffen wurden. Erste Angriffe wurden zum 17. Juli 2025 bemerkt, aber dort gab es noch keine Nutzlast in Form einer WebShell, die installiert wurde.<\/p>\n

Ich hatte die Entwicklung im Blog-Beitrag Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> sowie im Beitrag Sharepoint Server 0-Day-Schwachstelle: \u00fcber 400 Opfer, Warlock-Ransomware-Infektionen<\/a> nachgezeichnet. Inzwischen hat Microsoft Sonderupdates f\u00fcr diverse SharePoint Server-Versionen ver\u00f6ffentlicht, um die Schwachstellen zu schlie\u00dfen (siehe Patch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert<\/a>).<\/p>\n

Microsoft untersucht, ob es ein Leck gab<\/h2>\n

Nun ist der Verdacht aufgetaucht, dass mutma\u00dflich chinesische Hackergruppen irgendwie \u00fcber ein Leck bei Microsoft vorab an die Informationen zu den 0-Day-Schwachstellen gelangt sein k\u00f6nnten.<\/p>\n

Die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 waren ja im Mai 2025 auf der Pwn2Own-Hackerkonferenz in Berlin von einem vietnamesischen Sicherheitsforscher bei einem Angriff auf einen SharePoint-Server ausgenutzt worden. Der Sicherheitsforscher Dinh Ho Anh Khoa wurde mit 100.000 Dollar Pr\u00e4mie f\u00fcr den Hack bedacht und von Microsoft ausgezeichnet.<\/p>\n

Es wurden damals keine Details zu den Schwachstellen genannt. Und die 0-Day-Schwachstellen (CVE-2025-53770<\/a>\u00a0und\u00a0CVE-2025-53771<\/a>) waren bis zur Ausnutzung \u00f6ffentlich nicht bekannt.\u00a0Aber Microsoft nutzt intern ein Programm, um eigene Entwickler und externe Sicherheitsforscher \u00fcber nicht \u00f6ffentliche Schwachstellen zu informieren.<\/p>\n

Bloomberg berichtet<\/a> nun, dass\u00a0Microsoft untersucht, ob eine Sicherheitsl\u00fccke in seinem Fr\u00fchwarnsystem f\u00fcr Cybersicherheitsunternehmen (MAPPS) chinesischen Hackern erm\u00f6glicht hat, Schwachstellen in seinem SharePoint-Dienst auszunutzen, bevor diese behoben wurden.<\/p>\n

Dustin Childs, Leiter der Abteilung f\u00fcr Bedrohungserkennung bei der Zero Day Initiative des Cybersicherheitsunternehmens Trend Micro, sagt, dass die M\u00f6glichkeit einer Sicherheitsl\u00fccke im Microsoft Active Protections Program ihnen durchaus durch den Kopf ging, als erste Angriffe auf SharePoint bekannt wurden. Eine\u00a0solche Sicherheitsl\u00fccke d\u00fcrfte eine ernsthafte Bedrohung f\u00fcr das MAPPS-Programm darstellen.<\/p>\n

Die Mitglieder des MAPP-Programms wurden am 24. Juni, 3. Juli und 7. Juli 2025 \u00fcber die Sicherheitsl\u00fccken in SharePoint informiert, teilte Dustin Childs, Leiter der Abteilung f\u00fcr Bedrohungserkennung bei der Zero Day Initiative von Trend Micro, am Freitag gegen\u00fcber Reuters mit (Economic Times of India schreibt das hier<\/a>). Microsoft hat laut einem Blogbeitrag vom Dienstag erstmals am 7. Juli 2025 Versuche zur Ausnutzung dieser Sicherheitsl\u00fccke beobachtet.<\/p>\n

Es ist derzeit alles nur ein Verdacht, aber es dr\u00e4ngt sich auf, dass da jemand aus den Hackerkreisen fr\u00fchzeitig auf die Informationen gesto\u00dfen ist.\u00a0\"Im Rahmen unseres Standardprozesses werden wir diesen Vorfall untersuchen, Verbesserungsm\u00f6glichkeiten ermitteln und diese Verbesserungen umfassend umsetzen\", erkl\u00e4rte ein Microsoft-Sprecher in einer Stellungnahme gegen\u00fcber Bloomberg. Das Partnerprogramme sei ein wichtiger Bestandteil der Sicherheitsma\u00dfnahmen des Unternehmens.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a>
\nSharePoint-Notfall-Updates f\u00fcr 0-day Schwachstelle (CVE-2025-53770)<\/a>
\nPatch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert<\/a>
\nSharepoint Server 0-Day-Schwachstelle: \u00fcber 400 Opfer, Warlock-Ransomware-Infektionen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Konnten mutma\u00dflich chinesische Hacker vorab auf interne Beschreibungen von 0-Day-Schwachstellen in Microsoft SharePoint Server zugreifen, bevor diese am vorigen Wochenende ausgenutzt wurden? Microsoft untersucht jedenfalls, ob es ein Leak in internen Systemen gab, wo solche Informationen gespeichert sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[7238,4328],"class_list":["post-313976","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sharepoint","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313976","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313976"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313976\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313976"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313976"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313976"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}