Barracuda full logo

Cybersecurity Threat Advisory: Microsoft SharePoint Zero-Day-Schwachstelle

Themen:
22. Juli. 2025
|
Leavar Michel

Angreifer nutzen aktiv CVE-2025-53770, eine kritische Zero-Day-Schwachstelle in Microsoft SharePoint, um ohne Authentifizierung Remotecode auszuführen. Diese Schwachstelle ermöglicht es Angreifern, persistente Malware zu installieren und möglicherweise sensible Daten aus ungepatchten lokalen Umgebungen zu exfiltrieren. Lesen Sie die vollständigen Details in diesem Cybersecurity Threat Advisory, um die Ausnutzung in Ihrer Umgebung zu verhindern.

Welcher Art ist die Bedrohung?

CVE-2025-53770 ist eine neu entdeckte Zero-Day-Schwachstelle, die lokale Microsoft SharePoint-Server betrifft und häufig für interne Zusammenarbeit und Dateiaustausch genutzt wird. Dieser Fehler ist als RCE-Schwachstelle eingestuft und ermöglicht es Angreifern, bösartigen Code auf betroffenen Servern auszuführen, ohne dass eine Authentifizierung oder ein besonderer Zugriff erforderlich ist.

SharePoint-Server werden häufig durch fehlende Patches, kritische Fehlkonfigurationen oder exponierte internetbezogene Dienste anfällig. Als Zero-Day-Exploit wurde diese Schwachstelle aktiv ausgenutzt, bevor Microsoft einen Fix veröffentlichte, wodurch viele Systeme vorübergehend exponiert waren.

Angreifer nutzen den Fehler aus, indem sie speziell gestaltete HTTP-Anfragen an anfällige Server senden und sie dazu verleiten, beliebigen Code auszuführen. Dies kann zur Installation von Backdoors, zum Abfluss von Daten oder zu lateralen Bewegungen im Netzwerk führen.

Indikatoren für eine Kompromittierung umfassen:

  • Eine bösartige spinstall0.aspx-Web-Shell im SharePoint-Layouts-Verzeichnis
  • Ungewöhnliche POST-Anfragen an ToolPane.aspx
  • IIS-Arbeitsprozesse (w3wp.exe) Starten von PowerShell- oder cmd-Prozessen
  • Erhöhte CPU-Auslastung
  • Verdächtiger ausgehender Netzwerkverkehr

Warum sollte man aufmerksam sein?

Diese Schwachstelle wird aktiv in einer globalen Cyberspionagekampagne ausgenutzt, die über 100 Organisationen betrifft. Nach erfolgreicher Ausnutzung können Angreifer kryptografische Schlüssel stehlen, dauerhaften Zugriff erlangen und traditionelle Sicherheitskontrollen umgehen – alles ohne entdeckt zu werden.

Obwohl Microsoft Patches veröffentlicht hat, sind viele Unternehmen aufgrund verzögerter Patch-Installationen oder unvollständiger Sicherheitsmaßnahmen weiterhin gefährdet. Microsoft hat die entsprechenden Schwachstellen – CVE-2025-49706 und CVE-2025-49704 – Anfang des Monats gepatcht. Allerdings haben Angreifer bereits Workarounds entwickelt, was die Geschwindigkeit und Raffinesse der heutigen Bedrohungsakteure unterstreicht.

Auch Organisationen, die SharePoint nicht direkt nutzen, sind gefährdet. Kompromittierte SharePoint-Server können als Startrampe für Angriffe auf die Lieferkette dienen, die möglicherweise Partner, Lieferanten und Kunden betreffen und die Bedrohung im gesamten Ökosystem verstärken.

Wie hoch ist Risiko einer Exposition?

Wenn CVE-2025-53770 ausgenutzt wird, können Angreifer unbefugten Fernzugriff erlangen, bösartigen Code ausführen, vertrauliche Daten stehlen und möglicherweise kritische Geschäftsabläufe stören. Die Konsequenzen gehen über technische Kompromittierungen hinaus. Opfer können mit behördlichen Untersuchungen und Geldstrafen, rechtlicher Haftung, Marken- und Reputationsschäden, Betriebsausfällen sowie Maßnahmen zur Incident Response und Wiederherstellung konfrontiert werden.

Ein kompromittierter SharePoint-Server kann auch für weitere Netzwerkeinbrüche genutzt werden, was das Risiko von Ransomware, Spionage oder Diebstahl geistigen Eigentums erhöht. Diese Kaskadeneffekte machen eine schnelle Erkennung und Eindämmung entscheidend.

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen, um sich vor dieser Bedrohung zu schützen:

  • Wenden Sie die folgenden Notfallupdates für Microsoft SharePoint an:
    • Das KB5002754-Update für Microsoft SharePoint Server 2019 Core und KB5002753 für das Microsoft SharePoint Server 2019 Language Pack.
    • Das KB5002760-Update für Microsoft SharePoint Enterprise Server 2016 und KB5002759 für das Microsoft SharePoint Enterprise Server 2016 Language Pack.
    • Das KB5002768-Update für Microsoft SharePoint Subscription Edition.
  • Rotieren Sie die SharePoint-Computerschlüssel nach dem Update:
    • Manuell über PowerShell: So aktualisieren Sie die Computerschlüssel für eine Web-Applikation mithilfe von PowerShell und stellen sie in einer SharePoint-Farm bereit:
      • Generieren Sie den Computerschlüssel in PowerShell mit Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
      • Stellen Sie den Computerschlüssel in der Farm mit PowerShell bereit, indem Sie Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind> verwenden.
    • Manuell über die zentrale Verwaltung: Lösen Sie den Timer-Job für die Maschinenschlüsselrotation aus, indem Sie die folgenden Schritte ausführen:
      • Navigieren Sie zur Zentraladministrationsseite.
      • Gehen Sie zu Überwachung -> Jobdefinition überprüfen.
      • Suchen Sie nach Computerschlüssel-Rotationsauftrag und wählen Sie Jetzt ausführen.
      • Nachdem die Rotation abgeschlossen ist, starten Sie IIS auf allen SharePoint-Servern mit iisreset.exe neu.
  • Analysieren Sie Protokolle und Dateisysteme auf das Vorhandensein bösartiger Dateien oder Ausnutzungsversuche, einschließlich
    • Erstellung der Datei C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx.
    • IIS-Protokolle zeigen eine POST-Anfrage an _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx und einen HTTP-Referer von _layouts/SignOut.aspx.
    • Führen Sie die folgende Microsoft 365 Defender-Abfrage aus, um zu überprüfen, ob die Datei spinstall0.aspx auf Ihrem Server erstellt wurde.
      • eviceFileEvents
      • | wobei FolderPath „MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS“ enthält
      • | wobei Dateiname =~ „spinstall0.aspx“
      • oder der Dateiname enthält „spinstall0“
      • | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
      • | Sortierung nach Zeitstempel absteigend
  • Beschränken Sie die Internet-Exposition von SharePoint-Servern, wo immer möglich. Verwenden Sie Firewalls, VPNs oder Zero-Trust-Zugriffskontrollen, um den Zugriff nur auf vertrauenswürdige Nutzer und Netzwerke zu beschränken.
  • Aktivieren Sie die detaillierte Protokollierung und überwachen Sie die SharePoint-Serveraktivität auf ungewöhnliches Verhalten, wie unerwartete Datei-Uploads oder -Änderungen und Verbindungen von unbekannten IP-Adressen.
  • Isolieren Sie SharePoint-Server von anderen kritischen internen Systemen, um das Risiko einer lateralen Bewegung zu verringern, falls ein Angreifer Zugriff erhält.
  • Schaffen Sie Bewusstsein für diese Schwachstelle und verstärken Sie bewährte Verfahren für die Anwendung von Patches und die Aufrechterhaltung sicherer Konfigurationen.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

Abonnieren Sie den Barracuda-Blog
Leavar Michel

Leavar Michel ist Cybersecurity-Analyst bei Barracuda. Er arbeitet innerhalb unseres Security Operations Center als Security-Experte in unserem Blue Team. Leavar unterstützt die Bereitstellung unseres XDR-Service und ist besonders qualifiziert in der Analyse von Sicherheitsereignissen, zur Erkennung von Cyber-Bedrohungen, damit unsere Partner und deren Kunden geschützt sind.

Verwandte Beiträge:
Cyberkriminelle werden immer jünger und gefährlicher
Cyberkriminelle werden immer jünger und gefährlicher
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
 Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.