UPDATE: Angriffe auf SharePoint (CVE-2025-53770), Patches verfügbar!
Meldung von doelf, Montag der 21.07.2025, 10:27:08 Uhr
Aktuell wird eine kritische 0-Day-Lücke in mehreren Versionen von SharePoint angegriffen. Microsoft hatte am Samstag eine erste Warnung veröffentlicht, die leider so gut wie keine Informationen enthielt. Gestern folgten dann weitere Details, darunter die CVSS-Einstufung, welche mit 9,8 sehr hoch ausfällt. Am Montag gab es erste Flicken für die SharePoint Server Subscription Edition
und SharePoint Server 2019
. UPDATE: Inzwischen gibt es auch einen Patch für SharePoint Server 2016
sowie Sprachpakete für SharePoint Server 2019
und SharePoint Server 2016
.
Die Patches
Das Wichtigste zuerst: Es sind Sicherheits-Updates für die SharePoint Server Subscription Edition
, SharePoint Server 2019
und SharePoint Server 2016
verfügbar. Auch die dazugehörigen Sprachpakete hat Microsoft zwischenzeitlich nachgereicht:
- Patch für Microsoft SharePoint Server Subscription Edition
- Sicherheits-Update für SharePoint 2019 (KB5002754)
- Sicherheits-Update für Microsoft SharePoint Server 2019 Sprachpaket (KB5002753)
- Sicherheits-Update für SharePoint 2016 (KB5002760)
- Sicherheits-Update für Microsoft SharePoint Server 2016 Sprachpaket (KB5002759)
Wichtig: Die obigen Patches beheben nicht nur die kritische Sicherheitslücke CVE-2025-53770, sondern auch die hochgefährliche Schwachstelle CVE-2025-53771!
Die Sicherheitslücke CVE-2025-53770
Der Fehler CVE-2025-53770 steckt in der Deserialisierung nicht vertrauenswürdiger Daten, also in der Verarbeitung von außen kommender Datensätze. Der Absender der Daten benötigt keinerlei Autorisierung, muss sich aber Zugriff auf das Netzwerk verschaffen. Gelingt der Angriff, führt der Server beliebigen Code aus. Betroffen sind ausschließlich On-Premises-Installationen von SharePoint, nicht aber Microsoft 365 SharePoint Online.
Garniert mit Spoofing CVE-2025-53771
Für die aktuellen Angriffe wird zudem eine zweite Schwachstelle genutzt: CVE-2025-53771. Diese fällt in die Kategorie Spoofing
(Täuschung) und nutzt gleich drei Probleme aus: Den unzureichenden Schutz eines Pfadnamens, der auf ein Verzeichnis mit eingeschränktem Zugriff verweist, sowie eine unzureichende Eingabevalidierung und Neutralisierung. Microsoft bewertet CVE-2025-53771 als wichtig (CVSS: 6,3).
Zwei Bugs mit Vorgeschichte
Bei CVE-2025-53770 handelt es sich um eine Variante der ebenfalls als kritisch eingestuften Remote-Code-Ausführung CVE-2025-49704, welche Microsoft am 8. Juli 2025 entschärft hatte. Und auch die Spoofing-Schwachstelle CVE-2025-53771 hat mit CVE-2025-49706 einen Vorläufer, um den sich Microsoft am 8. Juli 2025 gekümmert hatte. Diese beiden Fehler wurden im Mai 2025 auf der Pwn2Own Berlin vorgeführt.
Alternative Maßnahmen
Die folgenden Maßnahmen hatte Microsoft empfohlen, als noch keine Flicken verfügbar waren. Auch mit installierten Updates bieten sie einen zusätzlichen Schutz gegen zukünftige Angriffe. Dies ist durchaus sinnvoll, da sich ja bereits die Updates von Anfang Juli 2025 als lückenhaft erwiesen hatten und man weitere Variationen dieser Angriffe nicht gänzlich ausschließen kann:
- Update auf die letzte SharePoint-Version.
- Das Antimalware Scan Interface (AMSI) von SharePoint auf
Vollmodus
(Full Mode
) einstellen. - Defender Antivirus auf allen SharePoint-Servern aktivieren.
Weitere Details von Eye-Security
Es gibt einen längeren Beitrag zu CVE-2025-53770 und CVE-2025-53771 von Eye-Security. Die Sicherheitsexperten hatten erste Angriffe am Abend des 18. Juli 2025 registriert und mehrere Dutzend infizierte Systeme vorgefunden. Schnell zeigte sich, dass externe Angreifer Daten ohne jegliche Authentifizierung auf die betroffenen Server schreiben konnten. Die Spur führte zu CVE-2025-49704, CVE-2025-49706 und der verdächtigen Datei spinstall0.aspx
, welche die kryptografischen Geheimnisse der SharePoint-Server per GET-Anfrage extrahiert.