Wieder einmal ist bei Microsoft ein schwerwiegendes Problem aufgetaucht, das diesmal die serverbasierte Version der SharePoint-Software betrifft. Zwar werden Windows-basierte Systeme nicht in die Knie gezwungen, wie es letztes Jahr bei CrowdStrike der Fall war, doch diesmal ist die Datensicherheit gefährdet, denn zwei Schwachstellen werden bereits weltweit von Hackern ausgenutzt, wodurch Tausende, ja Zehntausende von Unternehmen und Behörden gefährdet sind.
Es ist schlimm, aber es gibt Abhilfe
Die gute Nachricht zuerst: Microsoft hat bereits Notfall-Patches für Microsoft SharePoint Subscription Edition und Microsoft SharePoint Server 2019, die von der Sicherheitslücke betroffen sind, zur Verfügung gestellt, um die Angriffsfläche zu verringern und die Schwachstellen zu beheben, aber Microsoft SharePoint Enterprise Server 2016 hat noch kein Update erhalten. SharePoint als Teil von Microsoft 365 ist überhaupt nicht betroffen. Systemadministratoren können die Patches für diese beiden Versionen hier herunterladen.
Worum handelt es sich? - Der ToolShell-Angriff
Microsoft hat bereits am Samstag eine Warnung herausgegeben, dass einige Versionen von SharePoint aufgrund von zwei entdeckten Zero-Day-Schwachstellen von Hackern in Amerika und Europa aktiv angegriffen werden. Obwohl diese Schwachstellen eigentlich mit den Sicherheitsupdates vom Juli behoben werden sollten, gelang es Hackern, trotz der Patches einen Weg zu finden, sie auszunutzen. Die Angriffe laufen seit mindestens dem 18. Juli, als die Forscher von Eye Security auf sie aufmerksam wurden.
Die Schwachstellen ermöglichen es Angreifern, ohne Authentifizierung auf SharePoint-Dokumente und -Dateien zuzugreifen, während sie gleichzeitig Benutzer und Dienste weiter schädigen können, indem sie sich als Benutzer und Dienste ausgeben, vertrauliche Daten abrufen, auf Anmeldeinformationen zugreifen und dauerhaft offene Hintertüren schaffen, um die betroffenen Server und Netzwerke weiter zu belästigen. SharePoint, das ursprünglich für die Zusammenarbeit zwischen Abteilungen in Regierungsbehörden auf der Grundlage der gemeinsamen Nutzung von Dokumenten entwickelt wurde und auch von Unternehmen zur Verbesserung der Zusammenarbeit eingesetzt wird, ist auch mit anderen Diensten wie Teams und Outlook verknüpft, so dass diese Dienste durch Schwachstellen ebenfalls zum Opfer von Angreifern werden können: Sie können schnell Daten stehlen und Passwörter und Anmeldedaten erlangen.
Diese Schwachstellen sind nicht neu, sondern sollten eigentlich schon gepatcht worden sein.
Die Schwachstellen wurden ursprünglich auf der Pwn2Own-Veranstaltung in Berlin im Mai bekannt gegeben, auf der Sicherheitsforscher demonstrierten, wie die ursprünglichen Schwachstellen ausgenutzt werden können, und sollten im Juli von Microsoft gepatcht werden (CVE-2025-49704 und CVE-2025-49706), aber es scheint, dass keine gründliche Arbeit geleistet wurde. Jetzt versuchen Hacker, die Patches zu umgehen, um sich Zugang zu verschiedenen Serversystemen von Unternehmen und Behörden zu verschaffen, und das Problem ist global, so dass es wichtig ist, die neuesten von Microsoft veröffentlichten Updates anzuwenden. In einer seltsamen Wendung des Schicksals wurden zwei Zero-Day-Schwachstellen, von denen man annahm, dass sie bereits gepatcht worden waren, durch die Entdeckung von zwei weiteren Zero-Day-Schwachstellen (CVE-2025-53770 und CVE-2025-53771) erneut ausgenutzt.
Neben US-amerikanischen Unternehmen sind Berichten zufolge auch europäische Unternehmen betroffen, wobei die Niederlande das Hauptziel sind, wo SharePoint-Serverdienste am weitesten verbreitet sind. Microsoft und die Sicherheitsforscher haben noch nicht genau bekannt gegeben, wie viele Unternehmen und Behörden betroffen sind, aber sie schätzen, dass die Zahl der potenziell betroffenen Unternehmen in die Tausende oder Zehntausende geht. Neben Privatunternehmen gehören auch Bundesbehörden, Universitäten, Energieunternehmen und ein asiatisches Telekommunikationsunternehmen zu den Betroffenen, aber die Liste wird noch erweitert, und genauere Informationen werden zu einem späteren Zeitpunkt bekannt gegeben.
