Warnung vor globaler Angriffswelle auf Microsoft-Server

Der IT-Sicherheitshersteller Eset erwartet nach den gezielten Angriffen auf Microsoft-SharePoint-Server, dass die Kampagne weiterläuft und sich ausdehnt. Dahinter stecken zu einem beträchtlichen Prozentsatz staatlich unterstützte Hackergruppen aus China.

Nachdem auf Microsoft-SharePoint-Servern eine bis dahin unbekannte Schwachstelle registriert wurde, startete am 17. Juli 2025 eine international eskalierende Kampagne, bei der Cyberkriminelle - darunter auch staatlich unterstützte Hackergruppen aus China - auf ungepatchte Systeme zugreifen. Die Angriffskette, intern von Eset als ToolShell bezeichnet, nutzt mehrere Zero-Day-Lücken in Microsofts SharePoint-Software aus, um sich tief in Unternehmensnetzwerke einzuschleusen.

"Unsere Systeme registrierten die erste versuchte Ausnutzung dieser Schwachstelle in Deutschland - einen Tag bevor die Angriffe weltweit Fahrt aufnahmen", erläutert Eset Director of Government Affairs Andy Garth. "Dass sich nun auch staatlich unterstützte Gruppen daran beteiligen, zeigt die hohe Attraktivität dieses Angriffsvektors."

Unternehmen, Behörden und KRITIS-Betreiber bedroht

Laut Eset entfallen inzwischen rund 40 Prozent aller globalen zielgerichteten Cyberangriffe auf Gruppen, die mit chinesischen Staatsinteressen in Verbindung stehen. Diese sogenannten Advanced Persistent Threats (APTs) setzen gezielt auf neu entdeckte Schwachstellen, um in Regierungsnetze, Industrieanlagen und sensible Infrastrukturen einzudringen. Die ToolShell-Angriffe sind ein typisches Beispiel für dieses Vorgehen - professionell organisiert, hoch automatisiert und technisch ausgefeilt.

Wie die Angreifer arbeiten

Die ToolShell-Kampagne nutzt mehrere miteinander verknüpfte Sicherheitslücken, darunter: CVE-2025-53770 (Remote Code Execution)und CVE-2025-53771 (Server-Spoofing), sowie zwei zuvor gepatchte Lücken: CVE-2025-49704 und CVE-2025-49706. Ziel der Angreifer sind vor allem lokal betriebene SharePoint-Server (Versionen 2016, 2019 und Subscription Edition). Die Cloud-Variante SharePoint Online ist laut Microsoft nicht betroffen.

Bekannte chinesische APT-Gruppe

Einmal kompromittiert, schleusen die Angreifer sogenannte Webshells ein - darunter die Skripte spinstall0.aspx oder die ghostfile-Reihe - mit denen sich beliebige Befehle auf dem Server ausführen lassen. Die Angriffe können außerdem die Zwei-Faktor-Authentifizierung und das Single Sign-on umgehen. Über Microsoft 365-Dienste wie Outlook, OneDrive oder Teams können sich die Angreifer dann lateral im Netzwerk ausbreiten. "In einem Fall konnten wir eine Backdoor identifizieren, die typischerweise von der bekannten chinesischen APT-Gruppe 'LuckyMouse' eingesetzt wird", so Garth. "Diese Gruppen nutzen neue Schwachstellen besonders schnell und gezielt, um sich Zugang zu hochsensiblen Systemen zu sichern."

"Geopolitisch relevante Bedrohung"

Eset empfiehlt dringend, nur noch unterstützte SharePoint-Versionen verwenden. Alle Sicherheitsupdates sollten umgehend eingespielt werden. Es sollte eine Antivirenlösung mit aktiver AMSI-Integration verwendet werden. ASP.NET-Maschinenschlüssel sollten regelmäßig rotieren, um eine Zugriffsverlängerung zu verhindern. Außerdem sollten EDR-Lösungen eingesetzt werden, um verdächtige Prozesse frühzeitig zu erkennen. Nicht zuletzt sollten Mitarbeitende regelmäßig zu Phishing und Social Engineering sensibilisiert werden. "Die ToolShell-Kampagne zeigt, wie schnell aus einer technischen Schwachstelle eine geopolitisch relevante Bedrohung werden kann", warnt Garth. "Unternehmen und Behörden in Deutschland sollten sich bewusst sein: Sie waren das erste Ziel - und bleiben im Fokus."

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden