Eine gefährliche Zero-Day-Sicherheitslücke in Microsoft SharePoint Server mit der Kennung CVE-2025-53770 wird derzeit aktiv von Angreifern ausgenutzt. Mit einem CVSS-Score von 9.8 ermöglicht die Schwachstelle eine Remote-Code-Ausführung ohne Authentifizierung auf ungepatchten SharePoint-Servern. Laut Microsoft wurden bereits über 85 Server weltweit kompromittiert.
Was ist CVE-2025-53770 und warum ist sie gefährlich?
CVE-2025-53770 ist eine Variante der zuvor gepatchten Schwachstelle CVE-2025-49704. Die Ursache liegt in der unsicheren Deserialisierung von Daten auf lokalen SharePoint-Servern. Dadurch können Angreifer bereits vor der Authentifizierung beliebigen Code ausführen.
Sobald Zugriff besteht, stehlen Angreifer die kryptografischen MachineKeys (ValidationKey und DecryptionKey), um gültige __VIEWSTATE-Payloads zu erzeugen. Dies ermöglicht persistente Zugriffe und erschwert die Erkennung, da die Angriffe legitimen SharePoint-Traffic imitieren.
Tatsächliche Auswirkungen der Angriffe
Laut Eye Security und Palo Alto Networks Unit 42 ist die Sicherheitslücke Teil einer großangelegten Kampagne namens «ToolShell». Mehr als 85 kompromittierte Server in 29 Unternehmen und Behörden wurden bereits identifiziert. Die Angriffe nutzen ASPX-Dateien via PowerShell, um die Schlüssel zu extrahieren und volle Kontrolle über die Server zu gewinnen.
Da Patches die gestohlenen Schlüssel nicht zurücksetzen, bleibt das System auch nach dem Update verwundbar.
Reaktionen von Microsoft und CISA
Die US-Behörde CISA hat vor der aktiven Ausnutzung gewarnt. Microsoft bestätigte die Schwachstelle, dankte Viettel Cyber Security und veröffentlichte zeitnah einen Patch für CVE-2025-53770 sowie die verwandte Lücke CVE-2025-53771.
Microsoft empfiehlt, AMSI auf SharePoint-Servern zu aktivieren sowie Microsoft Defender Antivirus und Defender for Endpoint einzusetzen. Ist AMSI nicht verfügbar, sollte der Server bis zur Absicherung vom Internet getrennt werden.
Technische Details und Angriffskette
Die Schwachstelle steht in Verbindung mit:
-
CVE-2025-49704: ursprüngliche RCE-Lücke.
-
CVE-2025-49706: Spoofing über HTTP Referer.
-
CVE-2025-53771: neue Schutzmaßnahme gegen Exploit-Varianten.
Der Angriff nutzt die ToolPane-Schnittstelle (/_layouts/15/ToolPane.aspx), um Authentifizierungsmechanismen zu umgehen.
Empfohlene Schutzmaßnahmen
Der offizielle Patch ist verfügbar. Bis zur vollständigen Absicherung sollten Unternehmen Folgendes umsetzen:
-
Aktivieren Sie AMSI auf SharePoint-Servern.
-
Installieren Sie Defender AV und Defender for Endpoint.
-
Ersetzen Sie kompromittierte kryptografische Schlüssel.
-
Überwachen Sie PowerShell-Aktivitäten und
__VIEWSTATE-Manipulationen.
Wenn Sie lokale SharePoint-Server betreiben, sollten Sie sofort handeln.
Unsere Cybersecurity-Dienstleistungen helfen Ihnen dabei, Risiken zu erkennen, Angriffe abzuwehren und Ihre Umgebung abzusichern.
Fazit
CVE-2025-53770 ist eine kritische Bedrohung für SharePoint-Umgebungen. Die Ausnutzung erfolgt ohne Authentifizierung und kann zu persistenter Kompromittierung führen. Schnelles Handeln, gepaart mit effektiver Bedrohungserkennung, ist jetzt entscheidend.
Den vollständigen Artikel von The Hacker News lesen Sie hier.
