{"id":314229,"date":"2025-08-05T05:52:40","date_gmt":"2025-08-05T03:52:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314229"},"modified":"2025-08-09T08:48:27","modified_gmt":"2025-08-09T06:48:27","slug":"neue-insights-zum-sharepoint-gate-mitarbeiter-aus-china-fuer-die-wartung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/05\/neue-insights-zum-sharepoint-gate-mitarbeiter-aus-china-fuer-die-wartung\/","title":{"rendered":"Neue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit dem SharePoint-Desaster im Juli 2025, bei dem Schwachstellen angegriffen wurden, gibt es fast jeden Tag neue Enth\u00fcllungen. Es wurde spekuliert, dass mutma\u00dflich chinesische Hacker vorab auf interne Beschreibungen von 0-Day-Schwachstellen in Microsoft SharePoint Server zugreifen konnten. Nun hei\u00dft es, dass Microsoft Mitarbeiter aus China f\u00fcr die Wartung von SharePoint eingesetzt hat. Kleiner Nachtrag \u00fcber die neuesten Entwicklungen.<\/p>\n

<\/p>\n

R\u00fcckblick auf das SharePoint-Desaster<\/h2>\n

\"\"Ich nenne das Ganze inzwischen \"SharePoint-Gate\", weil es sich als einziges Desaster f\u00fcr Microsoft herausstellt. Zum 8. Juli 2025 hatte Microsoft Microsoft auch die Remote Code Execution-Schwachstellen\u00a0CVE-2025-49701<\/a>\u00a0und\u00a0CVE-2025-49704<\/a> in Microsoft SharePoint geschlossen (Patchday: Microsoft Office Updates (8. Juli 2025)<\/a>). Die als kritisch und important bewerteten Schwachstellen bekamen einem CVEv3 Score 8.8 (siehe Microsoft Security Update Summary (8. Juli 2025)<\/a>).<\/p>\n

Zum 17. Juli 2025 wurden erste Angriffe auf SharePoint-Server, die im Internet erreichbar waren, bemerkt. Aber dort gab es noch keine Nutzlast in Form einer WebShell, die installiert worden w\u00e4re. Ab dem 18. Juli 2025 beobachteten diverse Sicherheitsanbieter wie Sophos etc. verst\u00e4rkte Angriffswellen auf, per Internet erreichbare, Microsoft SharePoint-Server.<\/p>\n

Neben einem (ToolShell-)Exploit, welches die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 ausnutzte, gab es noch weitere ungepatchte und unbekannte 0-Day-Schwachstellen (CVE-2025-53770<\/a>\u00a0und\u00a0CVE-2025-53771<\/a>). Ich hatte zeitnah im Blog-Beitrag Sharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a> berichtet.<\/p>\n

Microsoft versuchte zwar mit Notfall-Ma\u00dfnahmen zur Abschw\u00e4chung und Notfall-Updates (siehe SharePoint-Notfall-Updates f\u00fcr 0-day Schwachstelle (CVE-2025-53770)<\/a>) zu reagieren (siehe \u00a0Sharepoint Server 0-Day-Schwachstelle: \u00fcber 400 Opfer, Warlock-Ransomware-Infektionen<\/a>)). Aber zu diesem Zeitpunkt waren hunderte Organisationen bereits erfolgreich kompromittiert.<\/p>\n

Die letzte Information, die mir aktuell gel\u00e4ufig ist, findet sich in diesem Beitrag<\/a> der Kollegen von Bleeping Computer.\u00a0Ransomware-Gangs reihen sich inzwischen in die Reihe der Angreifer auf Microsoft SharePoint-Server ein.<\/p>\n

Schwachstellen sei Mai 2025 bekannt, dilettantischer Patch<\/h2>\n

Die zum 8. Juli 2025 gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706 waren im Mai 2025 auf der Pwn2Own-Hackerkonferenz in Berlin von einem vietnamesischen Sicherheitsforscher bei einem Angriff auf einen SharePoint-Server ausgenutzt worden. Der Sicherheitsforscher Dinh Ho Anh Khoa wurde mit 100.000 Dollar Pr\u00e4mie f\u00fcr den Hack bedacht und von Microsoft ausgezeichnet.<\/p>\n

Bald wurde der Verdacht bekannt, dass dass Microsoft untersucht, ob eine Sicherheitsl\u00fccke in seinem Fr\u00fchwarnsystem f\u00fcr Cybersicherheitsunternehmen (MAPPS) chinesischen Hackern erm\u00f6glicht hat, Schwachstellen in seinem SharePoint-Dienst auszunutzen, bevor diese behoben wurden. Ich hatte das im Beitrag\u00a0Microsoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde<\/a> angesprochen.<\/p>\n

Aber diese gro\u00dfe \"Verschw\u00f6rung\" brauchte es nicht. Es gibt zwei Sachverhalte, die im Nachgang ein spezielles Licht auf die gesamte Angelegenheit werfen. Einmal brauchte Microsoft von Mai bis Juli 2025, um Sicherheitsupdates f\u00fcr die auf der Pwn2Own-Hackerkonferenz in Berlin offen gelegten RCE-Schwachstellen bereitzustellen.<\/p>\n

Ich hatte es nicht im Blog thematisiert weil ich einige Tage Urlaub gemacht habe (erinnerungsm\u00e4\u00dfig hat ein Blog-Leser darauf hingewiesen), aber der Patch konnte durch ein zus\u00e4tzliches Zeichen in einer URL umgangen werden. Kaspersky hatte zum 25. Juli 2025 eine detaillierte Analyse der Schwachstellen im Beitrag\u00a0ToolShell: a story of five vulnerabilities in Microsoft SharePoint<\/a> ver\u00f6ffentlicht. Schl\u00fcsselstelle im Beitrag ist die Aussage \"Our analysis of the exploit showed that it did rely on vulnerabilities fixed under\u00a0CVE-2025-49704<\/a>\u00a0and\u00a0CVE-2025-49706<\/a>, but by changing just one byte in the request, we were able to bypass those fixes\". Die Kollegen von Golem hatten es im Beitrag\u00a0Hacker umgehen Microsofts Patch mit nur einem Zeichen<\/a> angesprochen.<\/p>\n

Software-Fachleute aus China warten SharePoint<\/h2>\n

Aber das Ganze erfuhr in meinen Augen noch eine Steigerung. Ich hatte vor einigen Wochen im Beitrag Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a> berichtet, dass Microsoft Angestellte in China die Cloud des US-Verteidigungsministeriums warten l\u00e4sst. Kurz nach Ver\u00f6ffentlichung dieser Praxis gab Microsoft das Ende dieser Praxis bekannt (siehe Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a>).<\/p>\n

\"ProPublica<\/a><\/p>\n

Ich bin bereits am vorigen Freitag, den 1. August 2025, auf den Beitrag\u00a0Microsoft Used China-Based Engineers to Support Product Recently Hacked by China<\/a> von ProPublica gesto\u00dfen, komme aber erst jetzt dazu, dass aufzugreifen. Die Botschaft des Artikels: Microsoft habe zwar bekannt gegeben, dass staatlich gef\u00f6rderte Hacker aus China Schwachstellen in SharePoint Server ausgenutzt h\u00e4tten. Was aber nicht erw\u00e4hnt worden sei, w\u00e4re der Umstand, dass das Unternehmen seit langem Ingenieure aus China f\u00fcr die Wartung des Produkts einsetzt.<\/p>\n

Im Artikel hei\u00dft es, dass der Support f\u00fcr SharePoint von einem in China ans\u00e4ssigen Entwicklerteam geleistet wird. Das Team sei seit Jahren f\u00fcr die Wartung der Software verantwortlich.<\/p>\n

ProPublica gibt an, Screenshots aus dem internen Arbeitserfassungssystem von Microsoft gesehen zu haben, die belegen, dass Mitarbeiter in China \"k\u00fcrzlich\" Fehler in den On-Premises SharePoint-Servern behoben haben. Das ist aber die Variante, die von den Angriffen im Juli 2025 betroffen war.<\/p>\n

Die Seite ProPublica schreibt, dass das in China ans\u00e4ssige Team, laut einer Aussage von Microsoft, \"von einem in den USA ans\u00e4ssigen Ingenieur beaufsichtigt [werde] und allen Sicherheitsanforderungen und der \u00dcberpr\u00fcfung des Manager-Codes unterliegt. Es werde aber bereits daran gearbeitet, diese Arbeit an einen anderen Standort zu verlagern.\"<\/p>\n

Genau dies war doch auch die Aussage Microsofts, die ich im Beitrag Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a> thematisiert hatte. Auch damals hatte ProPublica diesen Sachverhalt aufgedeckt.<\/p>\n

Laut ProPublica liegt kein Beleg vor, dass die Mitarbeiter in China, die f\u00fcr die SharePoint-Wartung zust\u00e4ndig waren, an den Hacks beteiligt waren. Es braucht aber wohl nicht viel Phantasie, sich vorzustellen, dass diesen Mitarbeitern m\u00f6glicherweise \"arg bei ihren Aktivit\u00e4ten\" \u00fcber die Schulter geschaut wurde – \u00dcberwachung ist in China allgegenw\u00e4rtig.<\/p>\n

Zudem gew\u00e4hren die chinesischen Gesetze dem Regierungs- und\u00a0 Sicherheitsapparat weitreichende Befugnisse zur Datenerfassung und \u00dcberwachung. F\u00fcr chinesische B\u00fcrger oder Unternehmen ist schwierig, sich einer direkten Aufforderung durch Sicherheitskr\u00e4fte oder Strafverfolgungsbeh\u00f6rden sinnvoll zu widersetzen.<\/p>\n

Microsoft hat die Kontrolle verloren<\/h2>\n

Da schimmert erneut der Wiederholungst\u00e4ter Microsoft, der sich sehenden Auges Risiken f\u00fcr seine Kunden ins Nest holt – Hauptsache g\u00fcnstig und auf dem Papier abgesichert. Sp\u00e4testens nach dem Storm 0558-Hack (siehe Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a>) h\u00e4tten die Alarmglocken bei Microsoft angehen und alles auf den Pr\u00fcfstand gehoben werden m\u00fcssen. The Wired China hat in diesem Beitrag<\/a> den Elefant im Raum benannt: \"eine por\u00f6se Firewall zwischen chinesischen\u00a0 Sicherheitsunternehmen, Hackergruppen und der Staatssicherheit h\u00e4tten eine vertrauensw\u00fcrdige Cybersicherheitspartnerschaft mit Microsoft gef\u00e4hrdet\". Und das US-Medium Fox News schreibt hier<\/a>, dass der Fehler \u00a0in Microsoft SharePoint wichtige US-Regierungsbeh\u00f6rden gef\u00e4hrdet.<\/p>\n

Nach jedem Hack verspricht Microsoft \"noch besser und noch sicherer zu werden\" und hat seine Secure Future-Initiative ins Leben gerufen (siehe Microsoft Ank\u00fcndigung einer Secure Future Initiative<\/a>). Aber das ist \"wei\u00dfe Salbe\" bzw. \"Bullshit-Bingo\". J\u00fcrgen Schmidt, Sicherheitsredakteur bei heise, hat das im Kommentar Microsofts Secure Future Initiative: \"Bullshit!<\/a> auf den Punkt gebracht.<\/p>\n

Als Beobachter kann ich nur konstatieren, dass Microsoft seit Jahren die Kontrolle \u00fcber die eigenen Produkte verloren hat. Ein Fehler kann passieren, auch zwei oder drei – aber bei Microsoft reiht sich doch Katastrophe an Katastrophe. So aus dem hohlen Bauch heraus w\u00fcrde ich \"Muss das Stockholm-Syndrom sein\" konstatieren, wenn Leute die Produkte aus Redmond als \"alternativlos\" bezeichnen und nicht mal den Versuch machen, sich aus Abh\u00e4ngigkeiten zu l\u00f6sen, sondern Volldampf weiter machen. Oder was habe ich mal wieder nicht verstanden, weil das so sein muss?<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (8. Juli 2025)<\/a>
\nPatchday: Microsoft Office Updates (8. Juli 2025)<\/a>
\nSharepoint-Server werden \u00fcber 0-day Schwachstelle (CVE-2025-53770) angegriffen<\/a>
\nSharePoint-Notfall-Updates f\u00fcr 0-day Schwachstelle (CVE-2025-53770)<\/a>
\nPatch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert<\/a>
\nSharepoint Server 0-Day-Schwachstelle: \u00fcber 400 Opfer, Warlock-Ransomware-Infektionen<\/a>
\nMicrosoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde<\/a>
\nKrass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a>
\nMicrosoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a><\/p>\n

China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>
\nMicrosofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a><\/p>\n

Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a>
\nMicrosoft Ank\u00fcndigung einer Secure Future Initiative<\/a>
\nMicrosoft legt Fortschrittsbericht zur \"Secure Future Initiative\" vor<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit dem SharePoint-Desaster im Juli 2025, bei dem Schwachstellen angegriffen wurden, gibt es fast jeden Tag neue Enth\u00fcllungen. Es wurde spekuliert, dass mutma\u00dflich chinesische Hacker vorab auf interne Beschreibungen von 0-Day-Schwachstellen in Microsoft SharePoint Server zugreifen konnten. Nun hei\u00dft es, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,7459],"tags":[24,7238,4328],"class_list":["post-314229","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-software","tag-problem","tag-sharepoint","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314229","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314229"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314229\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314229"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314229"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314229"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}