Cybersecurity-Experten warnen vor einer beispiellosen Angriffswelle auf Microsoft SharePoint Server, bei der Hacker zwei kritische Zero-Day-Schwachstellen ausnutzen. Mindestens 85 Server weltweit sind bereits kompromittiert, und die Angriffe haben sich seit Ende vergangener Woche dramatisch intensiviert. Die betroffenen Organisationen reichen von Universitäten bis hin zu kritischen Infrastrukturelementen.
Von der Demonstration zur realen Bedrohung: Die ToolShell-Evolution
Der Ursprung der aktuellen Angriffswelle lässt sich auf eine Demonstration beim Pwn2Own Berlin-Wettbewerb im Mai zurückführen. Forscher von Viettel Cyber Security präsentierten damals die ToolShell RCE-Attacke, die zwei SharePoint-Schwachstellen kombinierte: CVE-2025-49706 und CVE-2025-49704. Diese Technik ermöglichte es Angreifern, beliebigen Code auf Zielservern auszuführen.
Obwohl Microsoft bereits im Juli Patches für beide Vulnerabilitäten veröffentlichte, gelang es Cyberkriminellen, diese Sicherheitsmaßnahmen zu umgehen. Die neuen Angriffsvarianten erhielten die Bezeichnungen CVE-2025-53770 mit einem CVSS-Score von 9,8 und CVE-2025-53771 mit einem Score von 6,3 Punkten.
Komplexe Angriffsmechanik: Wie die Exploitation funktioniert
Die Angreifer verwenden eine ausgeklügelte Exploit-Kette, um vollständige Kontrolle über die Zielsysteme zu erlangen. Dabei wird eine bösartige Datei namens spinstall0.aspx hochgeladen, die als Indikator für eine erfolgreiche Kompromittierung dient und zur Extraktion kritischer kryptografischer Daten verwendet wird.
Das primäre Ziel der Attacken ist der Diebstahl der SharePoint MachineKey-Konfiguration, einschließlich ValidationKey und DecryptionKey. Mit Zugriff auf diese kryptografischen Materialien können Angreifer gefälschte ViewState-Token mithilfe des ysoserial-Tools erstellen, was die Ausführung beliebigen Codes auf dem Server ermöglicht.
ViewState als Angriffsvektor
ViewState ist ein ASP.NET-Mechanismus zur Erhaltung des Zustands von Webelementen zwischen HTTP-Anfragen. Bei einer Kompromittierung des ValidationKey können Angreifer ViewState-Inhalte manipulieren und schädlichen Code einschleusen, der bei der serverseitigen Deserialisierung ausgeführt wird.
Betroffene Organisationen und Schadensbewertung
Eine Untersuchung der niederländischen Sicherheitsfirma Eye Security offenbarte das besorgniserregende Ausmaß der Angriffe. Unter den 54 identifizierten betroffenen Organisationen befinden sich kritische Infrastrukturobjekte, darunter:
• Eine private Universität in Kalifornien
• Ein kommerzielles Energieversorgungsunternehmen
• Eine staatliche Gesundheitsorganisation
• Ein FinTech-Unternehmen aus New York
• Ein Entwickler von KI-Technologien
Die Google Threat Intelligence Group bestätigt die Schwere der Situation und berichtet, dass Angreifer Web-Shells installieren und kryptografische Geheimnisse stehlen, wodurch sie sich dauerhaften unauthorisierten Zugang zu kompromittierten Systemen verschaffen.
Schutzmaßnahmen und Sofortempfehlungen
Microsoft hat ein Notfall-Update KB5002768 für SharePoint Subscription Edition veröffentlicht, während Patches für die Versionen 2019 und 2016 noch in der Entwicklung sind. Bis zur Verfügbarkeit offizieller Fixes empfiehlt das Unternehmen folgende Maßnahmen:
Sofortige Aktionen: Installation der neuesten verfügbaren Patches, Aktivierung der AMSI-Integration in SharePoint und Bereitstellung von Microsoft Defender auf allen Servern. Diese Maßnahmen erschweren unauthentifizierte Angriffe erheblich.
Zusätzliche Sicherungsmaßnahmen: Der Austausch der SharePoint Server ASP.NET-Schlüssel nach der Anwendung von Updates oder der AMSI-Aktivierung verhindert die Ausführung bösartiger Befehle selbst bei erfolgreichem Einbruch.
Kompromittierung erkennen
Administratoren können ihre Server auf Anzeichen einer Kompromittierung überprüfen, indem sie nach der Datei unter dem Pfad C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx suchen. Das Vorhandensein dieser Datei ist ein direkter Indikator für einen erfolgreichen Angriff.
Die aktuelle SharePoint-Bedrohungslage unterstreicht die kritische Bedeutung zeitnaher Sicherheitsupdates und mehrstufiger Verteidigungsstrategien für geschäftskritische Systeme. Organisationen mit On-Premises-SharePoint-Installationen sollten umgehend die empfohlenen Schutzmaßnahmen implementieren und ihre Systeme kontinuierlich auf Kompromittierungszeichen überwachen. Nur durch proaktive Sicherheitsmaßnahmen und schnelle Reaktionen können Unternehmen ihre digitalen Assets vor dieser hochentwickelten Bedrohung schützen.
