Das Wochenende sollte entspannt werden. Stattdessen steht die IT-Welt Kopf: Eine kritische Zero-Day-Lücke in Microsoft SharePoint wird bereits massiv ausgenutzt – und es gibt noch keinen offiziellen Patch.
Seit dem 18. Juli 2025 ist die digitale Infrastruktur vieler Unternehmen und Behörden akut bedroht. CVE-2025-53770, von Sicherheitsexperten „ToolShell“ getauft, ermöglicht Angreifern die komplette Übernahme von SharePoint-Servern – ohne jegliche Authentifizierung. Die Dimension des Problems wird erst langsam sichtbar: Bereits hunderte Server weltweit wurden kompromittiert, darunter mindestens zwei US-Bundesbehörden.
Der perfekte Sturm
Was ToolShell so gefährlich macht, ist die fatale Kombination aus mehreren Faktoren. Die Sicherheitslücke basiert auf einer fehlerhaften Deserialisierung von nicht vertrauenswürdigen Daten. Angreifer können mit einer einzigen HTTP-Anfrage an den Endpunkt /_layouts/15/ToolPane.aspx beliebigen Code auf dem Server ausführen. Keine Anmeldung erforderlich, keine Nutzerinteraktion nötig – nur eine präzise formulierte Anfrage genügt.
Die Ironie der Geschichte: Microsoft hatte bereits Anfang Juli Patches für ähnliche Schwachstellen (CVE-2025-49704 und CVE-2025-49706) veröffentlicht, die bei der Pwn2Own-Konferenz in Berlin demonstriert wurden. Doch Angreifer fanden schnell eine Variante, die diese Patches umgeht. Eye Security, das Unternehmen, das die aktuellen Angriffe entdeckte, scannte über 8.000 SharePoint-Server weltweit und fand dabei dutzende bereits kompromittierte Systeme.
Wer ist betroffen? Alle – direkt oder indirekt
Auch wenn Sie keinen eigenen SharePoint-Server betreiben, sind Sie wahrscheinlich trotzdem betroffen. SharePoint ist das Rückgrat der digitalen Zusammenarbeit in unzähligen Unternehmen, Behörden und Organisationen. Von lokalen Verwaltungen über mittelständische Unternehmen bis hin zu internationalen Konzernen – überall läuft SharePoint im Hintergrund.
Direkt betroffen sind alle Betreiber von On-Premises-SharePoint-Installationen:
- SharePoint Server 2016 (alle Versionen)
- SharePoint Server 2019
- SharePoint Server Subscription Edition
Indirekt betroffen ist praktisch jeder, der mit Unternehmen oder Behörden interagiert, die SharePoint nutzen. Wenn der Dienstleister Ihres Vertrauens kompromittiert wird, können Ihre Daten ebenfalls in falsche Hände geraten. Besonders kritisch: Angreifer können über SharePoint oft tief in die IT-Infrastrukturen eindringen und sich lateral durch Netzwerke bewegen.
Die gute Nachricht: SharePoint Online (Microsoft 365) ist nicht betroffen. Wer seine Daten in der Cloud verwaltet, kann aufatmen – zumindest diesmal.
Was die Angreifer anrichten können
Die Folgen einer erfolgreichen ToolShell-Attacke sind verheerend. Einmal im System, können Angreifer:
- Alle SharePoint-Inhalte einsehen und modifizieren
- Kryptographische Schlüssel stehlen, um sich dauerhaften Zugang zu verschaffen
- Backdoors installieren, die auch nach einem Patch funktionieren
- Sich lateral durch das Windows-Netzwerk bewegen
- Machine Keys extrahieren, mit denen sie gefälschte Authentifizierungstokens erstellen können
Besonders perfide: Selbst nach einem Patch können Angreifer über gestohlene Schlüssel weiterhin Zugriff haben. Ein einfaches Update reicht also nicht – betroffene Organisationen müssen alle kryptographischen Schlüssel rotieren.
Sofortmaßnahmen: Was jetzt zu tun ist
Microsoft hat Notfall-Maßnahmen veröffentlicht, auch wenn ein vollständiger Patch noch aussteht:
Für SharePoint-Administratoren (höchste Priorität):
- AMSI aktivieren: Das Antimalware Scan Interface muss in SharePoint konfiguriert werden
- Microsoft Defender auf allen SharePoint-Servern installieren und aktivieren
- Systeme überwachen auf verdächtige Aktivitäten, insbesondere die Erstellung der Datei
spinstall0.aspx - IPs überwachen: Bekannte Angreifer-IPs blockieren (107.191.58.76, 104.238.159.149, 96.9.125.147)
Wenn AMSI nicht aktiviert werden kann:
- SharePoint-Server sofort vom Internet trennen
- Vollständige Kompromittierung annehmen
- Alle Schlüssel und Credentials rotieren
- Forensische Untersuchung einleiten
Für alle anderen:
- Aufmerksam bleiben: Ungewöhnliche Aktivitäten in SharePoint-Umgebungen melden
- Backups prüfen: Sicherstellen, dass kritische Daten anderweitig gesichert sind
- Alternative Kommunikationswege vorbereiten für den Fall eines Ausfalls
Die US-Behörde CISA hat CVE-2025-53770 bereits in ihren Katalog der bekanntermaßen ausgenutzen Schwachstellen aufgenommen und Bundesbehörden eine Frist bis zum 21. Juli gesetzt.
Ausblick: Ein Weckruf für die IT-Sicherheit
ToolShell ist mehr als nur eine weitere Sicherheitslücke – es ist ein Weckruf. Die Geschwindigkeit, mit der Angreifer die Patches umgingen und die neue Variante ausnutzten, zeigt, wie professionell und gut organisiert moderne Cyberkriminelle vorgehen.
Microsoft arbeitet fieberhaft an einem umfassenden Patch, doch bis dahin bleiben Tausende von Servern verwundbar. Die Lektion ist klar: In einer Zeit, in der Zero-Day-Exploits binnen Stunden nach ihrer Entdeckung massenhaft ausgenutzt werden, reichen traditionelle Patch-Zyklen nicht mehr aus.
Unternehmen müssen ihre Sicherheitsstrategien überdenken. Dazu gehören:
- Zero-Trust-Architekturen, die von einer Kompromittierung ausgehen
- Kontinuierliches Monitoring und automatisierte Threat Detection
- Incident Response Pläne, die binnen Minuten aktiviert werden können
- Redundante Systeme, die bei Ausfällen übernehmen können
Die SharePoint-Krise zeigt einmal mehr: In der modernen IT-Landschaft ist nicht die Frage, ob ein Angriff stattfindet, sondern wann. Wer jetzt nicht handelt, riskiert, dass seine digitale Hütte tatsächlich abbrennt.
