Am 19. Juli 2025 veröffentlichte Microsofts Security Response Center (MSRC) eine Warnung zu gezielten Angriffen auf lokale SharePoint-Server. Dabei werden zwei neu identifizierte Schwachstellen ausgenutzt: CVE-2025-49706, eine Spoofing-Lücke, und CVE-2025-49704, die eine Remote-Code-Ausführung erlaubt. Microsoft betont, dass diese Sicherheitslücken ausschließlich On-Premises-Installationen betreffen – SharePoint Online in Microsoft 365 ist nicht betroffen. Für alle unterstützten Versionen von SharePoint Server (2016, 2019 und Subscription Edition) stehen Sicherheitsupdates bereit, die dringend installiert werden sollten.

Staatliche Akteure verbreiten Ransomware

Die Attacken zeigen, wie schnell neue Schwachstellen von staatlich unterstützten Gruppen adaptiert werden. Laut Microsoft nutzen unter anderem die chinesischen Akteure Linen Typhoon und Violet Typhoon sowie die Gruppe Storm-2603 die Sicherheitslücken aktiv aus. Besonders besorgniserregend: Storm-2603 geht noch einen Schritt weiter und setzt nach erfolgreichem Eindringen Ransomware ein – unter anderem die bekannte Schadsoftware "Warlock". Microsoft geht davon aus, dass weitere Gruppen folgen werden und beobachtet derzeit eine rasche Verbreitung entsprechender Angriffstaktiken.

Die Angriffe verlaufen nach einem inzwischen bekannten Muster: Über manipulierte POST-Anfragen wird ein Webshell-Skript namens "spinstall0.aspx" eingeschleust, das unter anderem zur Extraktion von MachineKey-Daten dient. Nach dem initialen Zugriff verschaffen sich die Angreifer mithilfe von Tools wie Mimikatz, PsExec und Impacket weitergehende Rechte, greifen Anmeldedaten ab und bewegen sich seitlich durchs Netzwerk. In mehreren Fällen konnten Administratorrechte erlangt und Microsoft Defender per Registry-Eingriff deaktiviert werden.

Microsoft gibt konkrete Schutzempfehlungen

Um dieser Bedrohung zu begegnen, hat Microsoft seine Schutzempfehlungen konkretisiert. Neben der Installation der aktuellen Sicherheitsupdates wird die Konfiguration des Antimalware Scan Interface (AMSI) im sogenannten "Full Mode" empfohlen. Zudem sollten ASP.NET-Machine-Keys rotiert und der IIS-Dienst auf allen betroffenen Servern neu gestartet werden. Administratoren sollten außerdem sicherstellen, dass Microsoft Defender oder gleichwertige Sicherheitslösungen aktiv und korrekt konfiguriert sind.

Microsoft stellt über seine Produkte wie Defender for Endpoint und Microsoft Sentinel auch konkrete Indikatoren für eine mögliche Kompromittierung zur Verfügung – etwa Dateinamen, Dateihashes und verdächtige Verbindungen zu Command-and-Control-Servern. Kunden mit erweiterten Sicherheitslösungen können außerdem Hunting-Queries und Bedrohungsdatenbanken nutzen, um ihre Systeme auf Spuren der Angriffe zu durchsuchen. Unternehmen, die SharePoint lokal betreiben, sollten ihre Systeme dringend prüfen, Schwachstellen schließen und Maßnahmen zur Angriffserkennung einleiten.

Server zur Not offline nehmen

Die aktuellen Entwicklungen verdeutlichen einmal mehr die Risiken ungepatchter Systeme im Unternehmensumfeld. Microsoft warnt davor, Systeme ohne installierte Updates online erreichbar zu lassen. Organisationen, die AMSI nicht aktivieren können, wird empfohlen, betroffene Server vom Internet zu trennen oder mindestens hinter VPNs oder Gateways mit Authentifizierung zu betreiben. Ziel müsse es sein, die Angriffsfläche zu minimieren und Reaktionszeiten bei Kompromittierungen deutlich zu verkürzen.