Zum Inhalt springen
Technik. Tests. Trends.
Profil
VG Wort Pixel

CVE-2025-53770

SharePoint-Angriffe: Über 100 Unternehmen nach wenigen Tagen betroffen

Die kritische Zero-Day-Schwachstelle in SharePoint wird aktiv ausgenutzt. Bereits über 100 Unternehmen sind kompromittiert – und das ist womöglich erst der Anfang.

9 Passwort-Manager im Test
Über die aktuelle Lücke können Nutzerzugänge gestohlen werden.
© 13_Phunkod / shutterstock.com

Kaum 48 Stunden nach der ersten Warnung meldeten Forscher von Eye Security und der Shadowserver Foundation (via Reuters) rund 100 betroffene Organisationen in den USA, Deutschland und weiteren Ländern. Die Angriffe begannen nachweislich am 18. Juli und richteten sich ausschließlich gegen selbst be...

Kaum 48 Stunden nach der ersten Warnung meldeten Forscher von Eye Security und der Shadowserver Foundation (via Reuters) rund 100 betroffene Organisationen in den USA, Deutschland und weiteren Ländern. Die Angriffe begannen nachweislich am 18. Juli und richteten sich ausschließlich gegen selbst betriebene (on-premises) SharePoint-Server; SharePoint Online blieb verschont.

Hinter dem Massen­angriff steckt eine Kombination aus zwei Zero-Days (CVE-2025-53770 & -53771), von Sicherheitsforschern "ToolShell" getauft. Ein gefälschter Referer-Header umgeht die Authentifizierung; anschließend wird ein fehlerhafter Deserialisierungs­prozess missbraucht, um Schadcode auszuführen und Web-Shells zu platzieren. Gelingt das, entwenden Angreifer die ASP.NET-Machine-Keys des Servers und können so selbst nach einem Patch persistieren.

Internet-Scans zeigen über 8 000 potenziell verwundbare SharePoint-Instanzen. Palo Alto Networks warnt, dass ein Einbruch selten isoliert bleibt: SharePoint ist eng mit Outlook, Teams oder OneDrive verzahnt, sodass seitliche Bewegungen im Netzwerk und Datendiebstahl erleichtert werden.

Microsoft veröffentlichte am 20. Juli außerplanmäßige Patches für die Subscription Edition und SharePoint 2019; ein Update für die 2016-Version folgt. CISA stuft CVE-2025-53770 als „Known Exploited Vulnerability“ ein und empfiehlt, AMSI in SharePoint zu aktivieren, alle Machine-Keys zu rotieren und kompromittierte Server isoliert zu analysieren. Auch das FBI und das britische NCSC beobachten die Kampagne.

shutterstock-2486046299-2486046299-mer-studio
Spoofing-Schwachstelle Microsoft: Aktive Angriffe auf SharePoint-Server

Autor: Jusuf Hatic • 22.7.2025

Smartphone gesucht? Nutzen Sie unseren Handyvergleich! Hier vergleichen.
Nächste passende Artikel
shutterstock-2486046299-2486046299-mer-studio
Spoofing-Schwachstelle Microsoft: Aktive Angriffe auf SharePoint-Server
Beyerdynamic Avetho 100
Beyerdynamic stellt neuen On-Ear-Kopfhörer vor Aventho 100: Kabelloser Kopfhörer mit prämiertem Design
constar Flashsale
Aktion Overlay
Begrenzte Aktion congstar startet Flashsale: 100 GB Allnet-Flat zum Sparpreis!
Heinz Nixdorf: Der Computerpionier
100 Jahre Heinz Nixdorf Heinz Nixdorf im Portrait: Der Computerpionier
luxman-p-100-centennial-kopfhoererverstaerker
High-End HiFi Luxman P-100 Centennial: Kopfhörerverstärker-Meisterwerk zum 100-jährigen Jubiläum
Kaufland Mobil Tarifaufwertung
Prepaid-Tarife Tarif-Upgrade bei Kaufland mobil: Bis zu 100 Prozent mehr Datenvolumen
audio+stereoplay-ausgabe-03-2025
Bald am Kiosk! AUDIO+stereoplay 03/2025: HiFi-Genuss für jedes Budget
cayin-jazz100-stereo-hifi-high-end-tube-stereo-vintegrated-amplifier
Stereo-Vollverstärker Cayin Jazz 100: Single-Ended-Class-A-Röhrenverstärker mit Bluetooth und 805A-Trioden
Mehr zum Thema
shutterstock-2486046299-2486046299-mer-studio
Spoofing-Schwachstelle Microsoft: Aktive Angriffe auf SharePoint-Server
Microsoft Windows 11 Updates
Patch-Probleme Windows 11: Microsoft kämpft mit Firewall-Bug
Windows-10-Rechner bereiten ihre Nutzer auf ein bald nötiges Update (auf Windows 11) vor.
Ab Oktober 2025 keine Sicherheitsupdates Windows 10: BSI warnt erneut vor Support-Ende
Vier Versionen von Office sind von der neuen Lücke betroffen.
Schwachstellen Office: Microsoft patcht kritische Lücke
Weiter zur Startseite