Kritische Lücken im Sharepoint-Server: "Es ist ratsam, von einer Kompromittierung auszugehen"

Auch im zweiten Versuch kann Microsoft die extrem kritischen Sicherheitslücken in lokalen Sharepoint-Servern nicht vollständig schließen. Sicherheitsexperten warnen deshalb, dass die Gefahr noch keineswegs gebannt ist, und empfehlen mit dem Schlimmsten zu rechnen.

"Unternehmen müssen sofort Maßnahmen zur Risikominderung ergreifen." Charles Carmakal, CTO von Mandiant Consulting, Google Cloud (Foto: Mandiant)

Nachdem bereits Ende Mai die äußerst kritische (CVSS-Rating: 9,8) Zero-Day-Schwachstelle CVE-2025-49706 in den On-Premises-Versionen der Sharepoint-Server bekannt geworden war, hatte Microsoft am vergangenen Patch-Dienstag Anfang Juli ein entsprechendes Sicherheitsupdate bereitgestellt. Wie sich vergangene Woche herausstellte, hielt dieses allerdings nicht, was es versprach. Security-Fachleute deckten mit den beiden neuen Exploit-Varianten CVE-2025-53770 und CVE-2025-53771 in der vergangenen Woche auf, dass es Angreifern weiterhin möglich ist, sich über sogenannte "ToolShell"-Angriffe ohne Authentifizierung an den Systemen anzumelden und dort nicht nur auf Daten innerhalb von Sharepoint zuzugreifen, sondern auch Schadcode auszuführen, mit dem beispielsweise das Dateisystem und die Konfigurationsdaten kompromittiert werden können.

Microsoft räumte die Panne in der vergangenen Woche ein und setzte sofort ein Notfallteam ein, um schnellstmöglich einen neuen Patch zu erstellen. Bis dahin wurde Betroffenen auf der entsprechenden Support-Seite dringend empfohlen, das Antimalware Scan Interface (AMSI) in Sharepoint zu aktivieren, eine EDR-Lösung wie den hauseigenen Defender AV einzusetzen und die ASP.NET-Maschinenschlüssel rollierend auszutauschen. Als sicherste Variante sollten die Sharepoint-Instanzen möglichst komplett vom Internet getrennt werden.

Neuer Patch löst Sharepoint-Problem nur bedingt

Jetzt wurde der neue Patch zwar veröffentlicht, allerdings beseitigt auch er das Problem nur wieder teilweise. Zum einen ist das Sicherheitsupdate bislang nur für die Subscription Edition sowie den Microsoft SharePoint Server 2019 verfügbar, nicht jedoch für den ebenfalls betroffenen Microsoft SharePoint Server 2016 (Stand 21. Juli 16:17 Uhr). Zum anderen gehen Sicherheitsexperten davon aus, dass viele mit dem Internet verbundene Sharepoint-Server bereits infiziert sein könnten. Dann wäre der Patch unter Umständen wirkungslos. So waren schon vor dem Wochenende über 80 entsprechend kompromittierte Sharepoint-Server identifiziert worden.

"Es reicht nicht aus, einfach nur den Patch zu installieren", warnt Charles Carmakal, CTO von Mandiant Consulting, Google Cloud, eindringlich. Er empfiehlt den Sicherheitsverantwortlichen betroffener Unternehmen deshalb über die unverzügliche Installation aller verfügbaren Patches hinaus unbedingt weitere Maßnahmen zur Risikominderung zu ergreifen. "Es ist ratsam, von einer Kompromittierung auszugehen und zu untersuchen, ob das System vor der Installation des Patches beziehungsweise den Maßnahmen zur Risikominderung kompromittiert wurde, und entsprechende Abhilfemaßnahmen zu ergreifen."

Sharepoint 365 ist laut Microsoft von den Sicherheitslücken nicht betroffen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden