Microsoft hat außerplanmäßige Sicherheitsupdates für zwei neu entdeckte Zero-Day-Lücken in SharePoint veröffentlicht. Die Schwachstellen mit den Kennungen CVE-2025-53770 und CVE-2025-53771 wurden aktiv in sogenannten ToolShell-Angriffen ausgenutzt, die auf bereits gepatchte Systeme zielten. Besonders brisant: Die Angriffe begannen nach dem Pwn2Own-Wettbewerb in Berlin, bei dem Forscher erstmals eine Kette ungepatchter Schwachstellen demonstrierten.

Zwei Notfall-Updates

Die nun veröffentlichten Updates betreffen SharePoint Server 2019 (KB5002754) und die SharePoint Subscription Edition (KB5002768). Für SharePoint 2016 ist noch kein Patch verfügbar, Microsoft arbeitet aber an einer Lösung. Laut eigenen Angaben enthalten die neuen Updates deutlich robustere Schutzmechanismen als die bisherigen Patches aus dem Juli. Administratoren sollten die Sicherheitsupdates umgehend einspielen, um weitere Kompromittierungen zu verhindern.

Im Anschluss an die Aktualisierung empfiehlt Microsoft, die sogenannten Machine Keys auf den SharePoint-Servern zu rotieren – entweder per PowerShell-Befehl Update-SPMachineKey oder über das Central-Admin-Portal. Zudem sollten Log-Dateien und Dateisysteme auf verdächtige Aktivitäten überprüft werden, insbesondere auf die Datei spinstall0.aspx sowie unübliche POST-Anfragen in den IIS-Logs. Bei Auffälligkeiten wird eine umfassende forensische Analyse des Netzwerks angeraten.

Codeausführung möglich

Beide Sicherheitslücken ermöglichen es Angreifern, über manipulierte Anfragen an SharePoint-Server beliebigen Code mit den Rechten des Dienstkontos auszuführen. Die Lücke CVE-2025-53770 betrifft dabei die unzureichende Validierung bestimmter HTTP-Header in Verbindung mit SharePoint-Komponenten, wodurch sich ein Remote Code Execution (RCE) über speziell präparierte Anfragen erreichen lässt.

Die Schwachstelle basiert auf einem kritischen Deserialisierungsfehler in der Verarbeitung nicht vertrauenswürdiger Daten. Angreifer nutzen diese Lücke aus, um ohne Authentifizierung beliebigen Code auf verwundbaren SharePoint-Servern auszuführen – mit einem CVSSv3.1-Wert von 9.8 zählt sie zu den schwerwiegendsten RCE-Schwachstellen der letzten Monate.

Besonders perfide: In der beobachteten Angriffskette wird nach erfolgreicher Kompromittierung gezielt die MachineKey-Konfiguration ausgelesen. Die so gewonnenen kryptografischen Schlüssel dienen dazu, "__VIEWSTATE"-Payloads zu fälschen, die vom Server als gültig akzeptiert werden – eine elegante Methode zur dauerhaften Hintertür.

CVE-2025-53771 wiederum erlaubt es, über einen Umweg über veraltete API-Endpunkte sicherheitsrelevante Schutzmechanismen wie die Authentifizierung zu umgehen. Die Kombination beider Schwachstellen wird derzeit aktiv genutzt, um Webshells wie "spinstall0.aspx" in legitime SharePoint-Verzeichnisse zu schreiben und persistente Zugriffsmöglichkeiten auf kompromittierte Systeme zu schaffen.

Update vom 22.07: Indicators of Compromise

Bitdefender konnte diese Angriffstechnik weltweit in realen Umgebungen nachweisen. Die Liste betroffener Länder reicht von den USA und Kanada über Deutschland und die Schweiz bis nach Südafrika und Jordanien. Die Angriffe erfolgen dabei meist opportunistisch über automatisierte Scans – weniger gezielt, aber dafür massenhaft.

Sobald ein verwundbarer Server identifiziert ist, wird in der Regel innerhalb von 24 Stunden ein initialer Exploit platziert, oft in Form eines Webshell-Skripts. Die eigentliche Schadensphase – etwa durch Ransomware oder Datendiebstahl – erfolgt meist zeitverzögert, um die Spuren des Angriffs zu verschleiern.

Der von Bitdefender beobachtete Payload besteht typischerweise aus eingebettetem C#-Code innerhalb einer ASP.NET-Datei. Dieser liest beim Laden der Seite gezielt interne .NET-Assemblys aus und extrahiert die MachineKey-Konfiguration. Die gestohlenen Schlüssel werden dann direkt im HTTP-Response ausgegeben, sodass der Angreifer sie bequem auslesen kann.

Dies erlaubt nicht nur die Wiederverwendung der Schwachstelle, sondern auch die Umgehung zukünftiger Patches, sofern die kompromittierten Schlüssel nicht zeitnah ausgetauscht werden. Daher ist die Rotation der MachineKeys essenzieller Bestandteil der empfohlenen Sofortmaßnahmen.

Als Indikatoren für eine Kompromittierung gelten unter anderem ungewöhnliche ASP.NET-Dateien wie "spinstall0.aspx" im SharePoint-Layouts-Verzeichnis, verdächtige HTTP-POST-Anfragen an ToolPane.aspx mit Referern wie "SignOut.aspx", sowie verdächtige Prozessketten, bei denen "w3wp.exe" (der IIS-Worker-Prozess) über "cmd.exe" verschlüsselte PowerShell-Befehle startet.

Bitdefender nennt zudem zwei IP-Adressen als Quelle beobachteter Angriffe: 162.159.140.229 und 172.66.0.227. Unternehmen mit exponierten SharePoint-Servern sollten ihre Systeme umgehend auf diese Spuren hin überprüfen und bei Auffälligkeiten ein vollständiges Incident Response einleiten.