Hacker nutzen Microsoft SharePoint-Schwachstellen bei globalen Sicherheitsverletzungen aus
Neue Informationen zu anhaltenden Cyberangriffen auf Microsofts lokale SharePoint-Server sind aufgetaucht und zeigen weitreichendere Auswirkungen als zunächst angenommen. Gestern berichtete Hackread.com über dringende Warnungen und neue Sicherheitsupdates von Microsoft für kritische Schwachstellen ( CVE-2025-53770 und CVE-2025-53771 ), die Angreifern die Ausführung von Schadcode ermöglichen.
Nun haben Cybersicherheitsforscher eine deutliche Eskalation bestätigt : Weltweit wurden bisher rund 100 Organisationen erfolgreich angegriffen. Dieser weitverbreitete Missbrauch hat Auswirkungen auf Regierungen, Unternehmen und andere Einrichtungen weltweit.
Zu den Opfern zählen nationale Regierungen in Europa und dem Nahen Osten sowie US-Regierungssysteme wie das Bildungsministerium, das Finanzministerium von Florida und die Generalversammlung von Rhode Island.
Auch ein US-amerikanischer Gesundheitsdienstleister und eine öffentliche Universität in Südostasien wurden ins Visier genommen. In Ländern wie Brasilien, Kanada, Indonesien, Spanien, Südafrika, der Schweiz und Großbritannien wurden Angriffsversuche beobachtet.
Angreifer nutzen Berichten zufolge Zero-Day-Schwachstellen aus, die bisher unbekannt waren. Dadurch können Spione tiefen Zugriff erlangen und möglicherweise dauerhafte Hintertüren installieren. Cybersicherheitsfirmen wie CrowdStrike, Mandiant Consulting , Shadowserver Foundation und Eye Security verfolgen mehrere Hackergruppen, die an diesen Angriffen beteiligt sind.
Das niederländische Unternehmen Eye Security stellte am Freitag erstmals eine aktive Ausnutzung fest und stellte fest, dass Hacker selbst nach den ersten Patches von Microsoft Anfang Juli „Wege fanden, die Patches zu umgehen“, um ihre Angriffe fortzusetzen. CrowdStrike beobachtete ebenfalls eine aktive Ausnutzung ab dem 18. Juli 2025 und blockierte Hunderte von Angriffsversuchen in über 160 Kundenumgebungen.
Ein häufiges Anzeichen einer Infektion ist das Vorhandensein einer verdächtigen Datei namens „spinstall0.aspx“, die Angreifer verwenden, um IIS-Maschinenschlüssel zu stehlen, nachdem sie über PowerShell-Befehle geschrieben wurde, wie CrowdStrike herausfand.
Die gestohlenen Informationen sind hochsensibel und umfassen Anmeldeinformationen wie Benutzernamen, Passwörter und Hash-Codes. Die tiefe Integration von SharePoint in andere Microsoft-Dienste wie Office, Teams, OneDrive und Outlook bedeutet, dass ein Angriff nicht eingedämmt werden kann und „Tür und Tor zum gesamten Netzwerk öffnet“, so Michael Sikorski von Palo Alto Networks .
Während Microsoft am Wochenende Patches für SharePoint 2019 und die Subscription Edition veröffentlicht hat, befinden sich Updates für SharePoint 2016 noch in der Entwicklung. Unternehmen wird dringend empfohlen, nicht nur verfügbare Patches zu installieren, sondern auch die Computerschlüssel zu rotieren und ihre IIS-Dienste neu zu starten, um die Bedrohung vollständig zu minimieren.
Zusätzlich zu diesen wichtigen Schritten veröffentlichte die CISA (Cybersecurity and Infrastructure Security Agency) am 20. Juli 2025 eigene Richtlinien. Sie empfehlen, das Antimalware Scan Interface (AMSI) in SharePoint zu konfigurieren, Microsoft Defender AV auf allen SharePoint-Servern bereitzustellen und, falls AMSI nicht aktiviert werden kann, betroffene öffentlich zugängliche Produkte zu trennen, bis die offiziellen Maßnahmen vollständig umgesetzt sind.
Die enorme Anzahl potenziell anfälliger SharePoint-Server – Suchmaschinen wie Shodan schätzen die Zahl weltweit auf über 8.000 – unterstreicht die dringende Notwendigkeit umfassender Sicherheitsmaßnahmen. Die Sicherheitslücken haben zudem zu einer erneuten Überprüfung der Cybersicherheitspraktiken von Microsoft geführt. Ein Bericht der US-Regierung aus dem Jahr 2024 empfiehlt dringende Reformen der Sicherheitskultur.
„Der Diebstahl kryptografischer Vermögenswerte ist das neue Phishing. Kriminelle haben gelernt, dass es viel einfacher ist, an wichtige kryptografische Vermögenswerte wie API-Schlüssel oder eine Maschinenidentität zu gelangen, als mit Brute-Force-Methoden, genauso wie Passwörter zu stehlen “ , sagte Robert Hann , Global VP Technical Solutions bei Entrust.
„Um sensible Daten mit Verschlüsselung und HSMs zu schützen, ist es wichtig, zunächst zu verstehen, welche kryptografischen Assets wie private Schlüssel, digitale Zertifikate und Verschlüsselungsalgorithmen welche Systeme und Informationen schützen. Der Einsatz eines HSM ist besonders wichtig für sensible Daten oder Daten, die Compliance-Anforderungen unterliegen“, rät Robert.
„Zusätzlich zum HSM-Schutz ist es für Unternehmen von entscheidender Bedeutung, weitere bewährte Sicherheitspraktiken für SharePoint zu implementieren, z. B. die Software mit den neuesten Patches und Sicherheitsupdates auf dem neuesten Stand zu halten, sichere Passwörter zu verwenden, Schlüssel regelmäßig zu aktualisieren und Richtlinien für eine sichere Konfiguration zu befolgen“, betonte er.
Laut Andrew Obadiaru , CISO bei Cobalt, einem Unternehmen für offensive Sicherheit, „sind Zero-Day-Schwachstellen in weit verbreiteten Plattformen wie SharePoint eine wahre Goldgrube für Angreifer, da sie sofortigen, skalierbaren Zugriff auf wertvolle Umgebungen ermöglichen. Die Herausforderung besteht nicht nur darin, Patches zu installieren; Angreifer implantieren typischerweise innerhalb weniger Stunden Persistenzmechanismen und sichern sich so langfristige Zugriffsmöglichkeiten. “
„Verteidigungsstrategien müssen von Sicherheitsverletzungen ausgehen und die Kontrollen durch proaktive Tests, einschließlich Red Teaming und kontinuierlichen Penetrationstests, validieren, um Schwachstellen aufzudecken, bevor es Angreifer tun. In der heutigen Bedrohungslandschaft ist reaktive Sicherheit allein ein aussichtsloses Unterfangen“, riet Andrew.
HackRead
