CISA warnt vor aktiven Angriffen auf SharePoint

Im Fokus der aktuellen Warnung stehen die Schwachstellen CVE-2025-49704 (Remote Code Execution) und CVE-2025-49706 (Remote Code Execution nach Anmeldung), die Microsoft beim Juli-Patchday veröffentlicht hat. Laut der US-amerikanischen Cybersecurity-Behörde CISA bilden sie die Grundlage einer gezielten Angriffskampagne chinesischer Gruppen wie Linen Typhoon und Violet Typhoon. Die Angreifer nutzen diese Schwachstellen in Kombination – bekannt als ToolShell-Exploitkette –, um sich Zugriff auf interne SharePoint-Server zu verschaffen.

Dabei wird zunächst eine Spoofing-Schwachstelle genutzt, um Authentifizierungsprüfungen zu umgehen. Anschließend wird eine Codeausführung ausgelöst, mit der beliebiger Schadcode in produktiven Umgebungen ausgeführt werden kann – ohne dass dafür gültige Zugangsdaten notwendig sind. CISA warnt ausdrücklich: Die Kombination dieser Schwachstellen ermöglicht vollständige Systemübernahmen auf ungepatchten Servern.

CVE-2025-53770 als Herzstück der Angriffskette

Interessanterweise hebt Microsoft in seinen eigenen Sicherheitsbulletins derzeit nur CVE-2025-53770 als „in freier Wildbahn ausgenutzt“ hervor. Diese Schwachstelle kombiniert laut Microsoft eine Authentifizierungsumgehung mit einer Remote Code Execution – und wird intern ebenfalls als Teil des ToolShell-Exploit-Chains geführt. Der Fehler basiert laut Akamai Security Intelligence Group auf der Verkettung von CVE-2025-49706 (Authentifizierungsbypass) und CVE-2025-49704 (unsichere Deserialisierung).

Die verwandte Schwachstelle CVE-2025-53771 beschreibt eine Pfadmanipulation, wird aktuell aber nicht zwingend für erfolgreiche Angriffe benötigt. Sicherheitsforscher gehen davon aus, dass 53770 und 53771 als Patch-Umgehungen für die ursprünglichen Schwachstellen fungieren.

Aktive Kompromittierungen: Webshells und PowerShell-Missbrauch

Die beobachteten Angriffsmuster zeigen, dass nach erfolgreichem Exploit typischerweise eine Webshell auf dem kompromittierten SharePoint-Server abgelegt wird. Darüber können Angreifer unter anderem auf kryptografische Schlüssel und Systeminformationen zugreifen. Laut Sicherheitsfirma Symantec wurden zudem PowerShell-Kommandos mit Base64-kodierten Payloads ausgeführt, über die eine Datei mit dem Namen client.exe von einem externen Server geladen und unter dem Tarnnamen debug.js gespeichert wurde.

Diese Datei dient anschließend als Basis für ein Windows-Batchskript, das systemkritische Informationen ausliest – ein klassisches Beispiel für einen „Living-off-the-Land“-Angriff, bei dem vorhandene Systemtools missbraucht werden, um die Erkennung zu erschweren.

Microsoft hält sich mit Details zurück

Auf Nachfrage bestätigte Microsoft lediglich, dass die Angaben in den offiziellen Advisories dem Stand zum Zeitpunkt der Veröffentlichung entsprechen. Post-Release-Änderungen oder neue Informationen werden laut Unternehmenspolitik nicht regelmäßig nachgepflegt. Stattdessen verweist Microsoft auf die enge Zusammenarbeit mit der CISA, die über den KEV-Katalog (Known Exploited Vulnerabilities) kontinuierlich aktualisierte Informationen zu ausgenutzten Schwachstellen bereitstellt.

Handlungsempfehlung: Jetzt patchen – und Systeme prüfen

Für alle Betreiber von On-Premises-SharePoint-Servern gilt höchste Alarmstufe. Auch wenn die Notfallanordnung der CISA formell nur US-Bundesbehörden betrifft, sollten auch Unternehmen außerhalb des öffentlichen Sektors die Patches zeitnah installieren – am besten sofort.

Darüber hinaus empfiehlt es sich dringend,

• alle SharePoint-Systeme auf Anzeichen kompromittierender Artefakte zu untersuchen (zum Beispiel unbekannte Webshells, auffällige PowerShell-Befehle),
• Netzwerkkommunikation zu verdächtigen Domains oder IP-Adressen zu analysieren,
• und den Zugriff auf administrative Schnittstellen stark einzuschränken.

Angesichts der Tatsache, dass es sich bei den Angreifern um staatlich unterstützte chinesische Akteure handelt, ist von einem gezielten, ressourcenstarken Vorgehen auszugehen – mit potenziell hohem Schaden bei erfolgreicher Kompromittierung.

Hacker umgehen AMSI-Schutz: Patchpflicht wird dringender denn je

Während Microsoft noch auf AMSI (Antimalware Scan Interface) als zentrale Schutzmaßnahme gegen die ToolShell-Exploitkette verweist, zeigt sich nun: Dieser Schutz ist durch neue Exploitmethoden bereits umgangen worden. Das Sicherheitsunternehmen watchTowr Labs beispielsweise hat intern erfolgreich eine Technik entwickelt, mit der sich die Schwachstelle CVE-2025-53770 ausnutzen lässt – trotz aktivierter AMSI-Mitigation.

„Das erlaubt uns, weiterhin verwundbare Systeme zu identifizieren – auch wenn AMSI bereits aktiviert wurde“, erklärt watchTowr-CEO Benjamin Harris. Und er warnt ausdrücklich: „AMSI war nie ein Allheilmittel. Dass es umgangen wird, war absehbar. Doch dass einige Organisationen darauf setzen, statt zu patchen, ist grob fahrlässig.“

Harris kritisiert, dass der Glaube an AMSI-Schutz ein gefährlicher Trugschluss sei – insbesondere weil viele öffentlich zugängliche Proof-of-Concepts (PoCs) AMSI auslösen und so ein falsches Gefühl von Sicherheit vermitteln: „Manche glauben dadurch, das System sei nicht mehr verwundbar. Das ist schlicht falsch.“

CISA: Lagebild noch unvollständig – hunderte Organisationen betroffen

Auch die CISA bestätigt, dass es sich noch um eine laufende Lagebeurteilung handelt. Chris Butera, kommissarischer Leiter der Cybersecurity-Abteilung, teilte mit:

„CISA arbeitet weiterhin eng mit Microsoft sowie Bundes- und weiteren Partnern zusammen, um die aktive Ausnutzung der Schwachstellen in Microsofts lokalen SharePoint-Servern zu untersuchen und einzudämmen.“

Man sei sich bewusst, dass auch Behörden auf Bundes-, Landes- und Kommunalebene betroffen seien. Gemeinsam mit diesen Partnern werde nun der Umfang analysiert und geeignete Maßnahmen würden umgesetzt.

Nach aktuellen Schätzungen sind bislang rund 400 Organisationen, darunter Regierungsbehörden, Unternehmen und andere Einrichtungen, kompromittiert worden.

Die Entdeckung, dass selbst AMSI ausgehebelt werden kann, unterstreicht den Ernst der Lage. Sicherheitslösungen oder Konfigurationen allein reichen nicht aus. Unternehmen und Behörden müssen die betroffenen Systeme sofort patchen, um sich gegen die ToolShell-Exploitkette zu schützen. Alles andere ist ein Spiel mit dem Feuer – und ein gefundenes Fressen für staatlich unterstützte Angreifer.