CVE-2025-53770 Zero-Day-Sicherheitslücke
Eine schwerwiegende Sicherheitslücke in Microsoft SharePoint Server ist zum Ziel einer anhaltenden, groß angelegten Cyberangriffskampagne geworden. Diese Sicherheitslücke mit der Nummer CVE-2025-53770 und einem CVSS-Score von 9,8 wird als Zero-Day-Schwachstelle eingestuft und ist eng mit CVE-2025-49704 (CVSS 8.8) verwandt, einem Fehler bei Code-Injektion und Remote-Code-Ausführung, der mit den Patch Tuesday-Updates von Microsoft im Juli 2025 behoben wurde. Die Schwachstelle beruht auf der Deserialisierung nicht vertrauenswürdiger Daten, die es Angreifern ermöglicht, Schadcode remote und ohne entsprechende Autorisierung auszuführen.
Inhaltsverzeichnis
Aktive Angriffe und betroffene Systeme
Forscher haben bestätigt, dass Cyberkriminelle diese Schwachstelle aktiv für lokale SharePoint Server-Instanzen ausnutzen. Wichtig ist, dass SharePoint Online in Microsoft 365 davon nicht betroffen ist. Die Angreifer nutzen die Art und Weise aus, wie SharePoint nicht vertrauenswürdige Objekte während der Deserialisierung behandelt, wodurch sie Befehle vor der Benutzerauthentifizierung ausführen können. Sobald sie im System sind, können Angreifer mithilfe gestohlener Maschinenschlüssel gefälschte Payloads generieren, die laterale Bewegung und dauerhaften Zugriff ermöglichen. Dies erschwert die Erkennung und Abwehr von Angriffen, da ihre Aktivitäten legitimen SharePoint-Verkehr imitieren können.
Komplexe Exploit-Ketten
Hinweise deuten darauf hin, dass CVE-2025-53770 zusammen mit anderen Schwachstellen, darunter CVE-2025-49706 (ein Spoofing-Bug mit einem CVSS-Score von 6,3) und CVE-2025-49704, genutzt wird, um eine komplexe Exploit-Kette namens ToolShell zu bilden. Angreifer nutzen CVE-2025-49706, um Payloads für die Remote-Code-Ausführung bereitzustellen, die CVE-2025-49704 ausnutzen. Das Hinzufügen von „_layouts/SignOut.aspx“ als HTTP-Referrer wandelt CVE-2025-49706 Berichten zufolge in CVE-2025-53770 um und ermöglicht so einen optimierten Exploit-Prozess.
Die Angriffe umfassen typischerweise ASPX-Nutzdaten, die über PowerShell bereitgestellt werden, mit dem Ziel, die MachineKey-Konfiguration des Servers (ValidationKey und DecryptionKey) zu stehlen. Diese Schlüssel sind kritisch, da sie es Angreifern ermöglichen, schädliche __VIEWSTATE-Nutzdaten zu erstellen, die SharePoint als gültig akzeptiert. Dadurch wird jede authentifizierte Anfrage effektiv zur Remotecodeausführung genutzt.
Ausmaß des Kompromisses
Bisher wurden weltweit über 85 SharePoint-Server kompromittiert, was mindestens 29 Organisationen, darunter multinationale Konzerne und Behörden, betraf. Sobald Angreifer die kryptografischen Schlüssel besitzen, wird die Behebung deutlich komplizierter. Selbst nach der Installation eines Sicherheitspatches können Angreifer mit gestohlenen Schlüsseln weiterhin Zugriff behalten, sofern diese nicht manuell rotiert oder neu konfiguriert werden.
Minderungsmaßnahmen
Bis zur Verfügbarkeit eines offiziellen Patches empfahl Microsoft Unternehmen, die Integration der Antimalware Scan Interface (AMSI) in SharePoint zu aktivieren. Kunden, die AMSI nicht aktivieren können, wurde dringend empfohlen, die Verbindung zu anfälligen SharePoint-Servern zum Internet zu trennen.
Nach anhaltenden Berichten über Sicherheitslücken hat Microsoft Patches sowohl für CVE-2025-53770 als auch für eine neu entdeckte Schwachstelle, CVE-2025-53771, veröffentlicht, um anfällige Systeme zu schützen.
Warnung der CISA
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung herausgegeben, die die aktive Ausnutzung der Sicherheitslücke CVE-2025-53770 bestätigt. Diese Sicherheitslücke ermöglicht Angreifern die unauthentifizierte Remote-Codeausführung über das Netzwerk und stellt eine ernsthafte Bedrohung für jede ungepatchte SharePoint-Umgebung dar.
