Microsoft warnt vor einer aktiv ausgenutzten Zero-Day-Schwachstelle in lokal betriebenen SharePoint Servern (2016, 2019, Subscription Edition). Die als CVE‑2025‑53770 („ToolShell“) bekannt gewordene Lücke ermöglicht Angreifern die Remote-Code-Ausführung ohne Authentifizierung.
Die Attacke basiert auf unsicherer Deserialisierung in Verbindung mit einem Authentifizierungs-Bypass (CVE‑2025‑53771). Bereits kompromittierte Systeme wurden mit WebShells und gestohlenen machineKeys versehen, was persistente Zugriffe erlaubt.
Microsoft hat dringende Sicherheitsupdates bereitgestellt – betroffen sind ausschließlich On-Prem-Installationen, SharePoint Online ist nicht gefährdet.
Dringende Maßnahmen:
- Sicherheits-Patches sofort einspielen
- AMSI & Microsoft Defender aktivieren
- machineKeys rotieren & IIS neustarten
- Forensische Prüfung auf WebShells und ungewöhnliche PowerShell-Aktivitäten
➡️ Weitere Infos und IOCs finden Sie auf https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
Fazit: Handeln Sie sofort, wenn Sie SharePoint lokal betreiben – eine Kompromittierung kann zur vollständigen Serverübernahme führen.
Ihre m.a.x. it
