Microsoft: Chinesische Hacker sollen hinter Sharepoint-Attacken stecken
Erst vor wenigen Tagen wurde bekannt, dass Angreifer massenhaft On-Prem-Instanzen von Microsoft Sharepoint attackieren . Nach und nach werden neue Informationen dazu bekannt. Microsoft selbst schreibt die Angriffe in einem neuen Blogbeitrag(öffnet im neuen Fenster) den drei chinesischen Hackergruppen Linen Typhoon, Violet Typhoon und Storm-2603 zu. Der Konzern betont jedoch, dass die Ermittlungen noch andauern und möglicherweise weitere Cybergruppierungen beteiligt sind.
Attackiert werden die Sharepoint-Instanzen über Sicherheitslücken ( CVE-2025-49704(öffnet im neuen Fenster) und CVE-2025-49706(öffnet im neuen Fenster) ), die schon im Mai beim Hackerwettbewerb Pwn2Own in Berlin entdeckt wurden. Microsoft patchte diese zwar zum 8. Juli, jedoch fanden die Angreifer offenbar einen Weg, die Patches zu umgehen. Daraus resultierten zwei neue Lücken, die als CVE-2025-53770(öffnet im neuen Fenster) und CVE-2025-53771(öffnet im neuen Fenster) registriert sind.
Angriffe laufen schon seit Wochen
Sicherheitsforscher von Check Point schreiben in einem am 21. Juli veröffentlichten Blogbeitrag(öffnet im neuen Fenster) , dass sie Hinweise auf eine aktive Ausnutzung gefunden hätten, die bis zum 7. Juli zurückreichen. Microsoft bestätigt dieses Datum in seiner eigenen Meldung. Folglich wurden anfällige Sharepoint-Server schon rund zwei Wochen vor der ersten Warnmeldung, die Microsoft am 19. Juli veröffentlicht hatte, attackiert.
Einem Bericht von Reuters(öffnet im neuen Fenster) zufolge haben die Angreifer bis zum vergangenen Wochenende bereits Sharepoint-Instanzen von rund 100 Organisationen infiltriert. Ob es bei dieser Zahl bleibt, bleibt jedoch abzuwarten. Weltweit gibt es mehr als 9.000 über das Internet erreichbare Sharepoint-Server. Nach Angaben der Shadowserver Foundation mit Stand vom 22. Juli(öffnet im neuen Fenster) stehen 341 dieser Instanzen in Deutschland. Nochmals deutlich größer ist die Angriffsfläche in den USA – mit fast 4.200 Instanzen.
Patchen allein reicht nicht
Als für den Toolshell genannten Angriffsvektor anfällig gelten Microsoft Sharepoint Server 2016, 2019 und Subscription Edition. Administratoren, die ihre Instanzen vor möglichen Angriffen schützen wollen, finden in Microsofts erstem Blogbeitrag(öffnet im neuen Fenster) zu dem Thema inzwischen Patches für alle anfälligen Sharepoint-Varianten. Auch weitere mögliche Schutzmaßnahmen sind in dem Beitrag zu finden.
Wer die Patches eingespielt hat, sollte aufgrund der aktiven Ausnutzung weitere Maßnahmen ergreifen, da die Sharepoint-Instanzen bereits kompromittiert sein können. Microsoft empfiehlt diesbezüglich, die Sharepoint ASP.NET Machine Keys zu rotieren und anschließend den IIS neu zu starten. Danach sollte nach Hinweisen auf eine mögliche Kompromittierung gesucht werden.
Auch das BSI hebt diesen Umstand in einer deutschsprachigen Sicherheitsmeldung zu den Sharepoint-Angriffen (PDF)(öffnet im neuen Fenster) hervor und betont, dass alleiniges Patchen nicht ausreiche. Sowohl Microsoft als auch das BSI liefern in ihren Meldungen eine Reihe von Indikatoren, die auf eine Kompromittierung hindeuten. Dazu zählen Verbindungsversuche von bestimmten IP-Adressen sowie bestimmte an den jeweiligen Server übermittelte Anfragen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.