Microsoft: Angriffe auf neue Sharepoint-Lücke – bislang kein Patch verfügbar
Microsoft warnt vor aktiven Angriffen auf eine bislang unbekannte Lücke in Sharepoint-Servern und benennt Erste-Hilfe-Maßnahmen für Verteidiger.
(Bild: heise online)
Auf Social Media und anderen Kanälen warnt Microsofts Sicherheitsteam vor einer neuen Lücke in Sharepoint On-Prem. Man wisse bereits von Kunden-Servern, die darüber attackiert wurden. Patch gibt es noch keinen; dafür erklärt Microsoft, man könne und solle sich mit "Microsoft Defender Antivirus" schützen.
Bei der aktuellen Sicherheitslücke mit dem Bezeichner CVE-2025-53770 handelt es sich offenbar um eine Variante des Problems CVE-2025-49706, das Microsoft erst am 8. Juli mit einem Security-Update adressierte. Es beruht auf einer fehlerhaften Deserialisierung von Daten. Ersten Gerüchten auf X zufolge können Angreifer darüber den sogenannten MachineKey des Servers stehlen und sich damit das Ausführen von Code auf dem Server ermöglichen. Damit wäre die Lücke in der obersten Kategorie anzusiedeln; die europäische ENISA bewertet den zugehörigen EUVD-2025-21981 mit dem CVSS-Rating 9,8 (kritisch).
Antivirus zur Rettung
Microsoft empfiehlt in Kundenhinweisen zur SharePoint-Schwachstelle CVE-2025-53770, zum Schutz das neue Antimalware Scan-Interface AMSI zu aktivieren und dann den hauseigenen Virenjäger Defender AV auf allen Servern zu installieren. Das ist eine überaus unbefriedigende Situation, da nicht einmal klar ist, ob und wie das bereits installierte Security-Software beeinflusst. Doch andere Schutzmaßnahmen nennt Microsoft nicht; uns sind bisher auch keine alternativen Mitigations bekannt. Wenn sich da etwas Neues ergibt, werden wir das hier nachtragen.
Videos by heise
Betroffen sind offenbar ausschließlich On-Prem-Installationen von Microsoft Sharepoint; SharePoint Online in Microsoft 365 ist laut Microsoft nicht anfällig. Weitere Erklärungen, wie das kommt, gibt Microsoft nicht. Details zu den bisherigen Angriffen über diese Lücke nennt Microsoft ebenfalls nicht, gibt jedoch rudimentäre Tipps, wie man infizierte Server identifizieren kann. Offenbar kam bei den Angriffen eine Datei namens "spinstall0.aspx" zum Einsatz.
Die Situation um diese Sicherheitslücke dürfte sich in den nächsten Stunden und Tagen ständig weiterentwickeln. Wir werden diese Entwicklung beobachten und weiter berichten. Mitglieder von heise security PRO können ihre Erfahrungen mit Mitigations auch hier im PRO-Forum diskutieren.
In einem Blogbeitrag schildert das europäische Cybersicherheitsunternehmen Eye Security im Detail, wie es auf die Schwachstelle gestoßen ist und nennt einige Indicators of Compromise, anhand derer sich eine Ausnutzung feststellen lässt. IT-Verantwortliche sollten sofort handeln, den betroffenen SharePoint-Server isolieren oder herunterfahren und alle potenziell offengelegten Anmeldedaten erneuern.
Mittlerweile gibt es erste Patches von Microsoft – Admins sollten diese zügig einspielen, um Ungemach zu vermeiden.
(ju)
