In den letzten Tagen wurde aufgedeckt, dass die SharePoint-Plattform von Microsoft zwei Zero-Day-Schwachstellen enthält und dass Cyberkriminelle seit einiger Zeit aktiv versuchen, diese anzugreifen. Es ist jedoch noch nicht bekannt, ob sie erfolgreich waren, ob sie vertrauliche Unternehmensdaten, Benutzerzugangsdaten oder sogar verschiedene Schlüssel erlangt haben, die weiteren Schaden anrichten könnten.
Die von Microsoft herausgegebenen Informationen waren eindeutig: Allen Betroffenen wurde geraten, die von ihnen verwendete SharePoint-Version zu aktualisieren, wenn sie Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 oder Microsoft SharePoint Server 2016 verwenden. Ursprünglich gab es keinen Patch für die 2016er Version, , aber er wurde inzwischen zur Verfügung gestellt.
Jetzt hat Microsoft erneut einen wichtigen Hinweis herausgegeben, da Untersuchungen ergeben haben, dass eine chinesische cyberkriminelle Gruppe, bekannt als Strom-2603, bereits aktiv ungepatchte Sicherheitslücken nutzt, um Ransomware auf anfälligen Systemen zu installieren. Die Angreifer nutzen die im Juli entdeckten und teilweise gepatchten Schwachstellen CVE-2025-49704 und CVE-2025-49706, sofern sie noch offen sind. Wo dies nicht der Fall ist, konzentrieren sie sich auf die Schwachstellen CVE-2025-53770 und CVE-2025-53771, sofern sie nicht von den Anwendern mit kürzlich veröffentlichten Patches gepatcht wurden. Wenn der Angriff auf das System erfolgreich ist, schleusen die Angreifer die Warlock-Ransomware ein und können später ein Lösegeld verlangen, um die Dateien zu entschlüsseln.
Die Untersuchungen von Microsoft haben zwei Akteure identifiziert, die möglicherweise mit Unterstützung chinesischer Nationalstaaten operieren: der eine ist Linen Typhoon und der andere Violet Typhoon. Dabei handelt es sich natürlich nicht um die Namen der jeweiligen Teams, sondern lediglich um Namen, die auf der Grundlage früherer Praktiken auf der Grundlage des Herkunftslandes und der Art der Aktivität vergeben wurden. China hat zum Beispiel den Codenamen Typhoon, während die nordkoreanischen Angreifer Sleet genannt werden. Es gibt auch etablierte Namen, die sich auf die Art des Angriffs stützen. So erhalten Gruppen, die Einflussoperationen durchführen, den Namen Flood und finanziell motivierte Gruppen den Namen Tempest. In diesem Fall handelt es sich um eine sich entwickelnde Gruppe, weshalb sie Storm genannt wird, mit einer Zahlenfolge, in diesem Fall 2603. Bislang wurde keine Verbindung zwischen Storm-2603 und anderen bekannten chinesischen Angreifern gefunden, aber die Analyse wird fortgesetzt und die Aktivitäten werden überwacht.
Laut Microsoft lässt sich die Angriffsfläche verringern, indem man die neueste Version der Plattform verwendet, alle relevanten Updates installiert und Antimalware Scan Interface und Microsoft Defender Antivirus oder andere Anwendungen, die ein ähnliches Maß an Sicherheit bieten, integriert und aktiviert. Im Falle von AMSI sollte die Einstellung Full Mode verwendet werden. Gleichzeitig empfiehlt das Unternehmen den Benutzern, die ASP.NET-Maschinenschlüssel zu ändern, Internet Information Services (IIS) neu zu starten und Microsoft Defender for Endpoint oder einen gleichwertigen Schutz zu installieren.
Die Untersuchungen sind noch im Gange, so dass zu hoffen ist, dass bald mehr Informationen über die Angreifer, die versuchen, die Schwachstellen auszunutzen, einschließlich des oben genannten Teams, das als Microsoft Storm-2603 bezeichnet wird, zur Verfügung stehen.
