{"id":148250,"date":"2025-07-29T09:29:31","date_gmt":"2025-07-29T16:29:31","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=148250"},"modified":"2025-07-31T08:33:42","modified_gmt":"2025-07-31T15:33:42","slug":"microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/de\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","title":{"rendered":"Aktive Ausnutzung von Sicherheitsl\u00fccken in Microsoft SharePoint (Aktualisiert am 29. Juli)"},"content":{"rendered":"

<\/a>Kurzfassung<\/h2>\n

Aktualisierung vom 29. Juli 2025<\/b><\/p>\n

Telemetriedaten von Unit 42 haben im Zeitraum vom 17. Juli 2025, 08:40 UTC, bis zum 22. Juli 2025 Ausnutzungsversuche f\u00fcr die Schwachstelle CVE-2025-53770 erfasst. Diese Versuche gehen von der Bedrohungsaktivit\u00e4t aus, die unter der Bezeichnung CL-CRI-1040 verfolgt wird.<\/span><\/p>\n

Bereits ab dem 17. Juli 2025, 06:58 UTC, wurden vorbereitende Schwachstellenpr\u00fcfungen auf SharePoint-Servern durch IP-Adressen beobachtet, die CL-CRI-1040 zugeordnet werden. Die Muster der Angriffsversuche deuten auf die Verwendung einer statischen Zielliste von SharePoint-Servern hin.<\/span><\/p>\n

Eine der IP-Adressen, die im Rahmen der CL-CRI-1040-Aktivit\u00e4t CVE-2025-53770 ausnutzt, weist eine \u00dcberschneidung mit dem von Microsoft er\u00f6rterten Cluster Storm-2603 auf. Wir untersuchen dieses Cluster gegenw\u00e4rtig, um weitere Erkenntnisse \u00fcber die beteiligten Akteure zu gewinnen.<\/span><\/p>\n

Unit 42 verfolgt hochwirksame, laufende Bedrohungsaktivit\u00e4ten, die auf selbst gehostete Microsoft SharePoint-Server abzielen. Zwar sind Cloud-Umgebungen nicht betroffen, doch On-Premise SharePoint Instanzen \u2013 insbesondere in Beh\u00f6rden, Schulen, im Gesundheitswesen (einschlie\u00dflich Krankenh\u00e4usern) und in gro\u00dfen Unternehmen \u2013 sind unmittelbar gef\u00e4hrdet.<\/p>\n

Lokale Microsoft SharePoint-Server sind derzeit aufgrund mehrerer Schwachstellen, die unter dem Namen \u201eToolShell\u201c zusammengefasst werden (CVE-2025-49704,<\/a>\u00a0CVE-2025-49706<\/a>, CVE-2025-53770<\/a>, CVE-2025-53771<\/a>)<\/span>, einer weit verbreiteten, aktiven Ausnutzung ausgesetzt. Diese Schwachstellen erm\u00f6glichen es Angreifern, eine vollst\u00e4ndige Remotecodeausf\u00fchrung (RCE) zu erreichen, ohne dass Anmeldeinformationen erforderlich sind. Ein kompromittierter SharePoint-Server stellt ein erhebliches Risiko f\u00fcr Unternehmen dar, da er als Gateway zu anderen integrierten Microsoft-Diensten dienen kann.<\/p>\n

Zus\u00e4tzlich zu den CVE-Berichten hat Microsoft weitere Hinweise<\/a> zu diesen Sicherheitsl\u00fccken ver\u00f6ffentlicht. Die Sicherheitsl\u00fccken, ihre CVSS-Bewertungen und ihre Beschreibungen sind in Tabelle\u00a01 aufgef\u00fchrt.<\/p>\n\n\n\n\n\n\n\n
CVE-Nr.<\/strong><\/td>\nBeschreibung<\/strong><\/td>\nCVSS-Bewertung<\/strong><\/td>\n<\/tr>\n
CVE-2025-49704<\/a><\/td>\nEine unzureichende Kontrolle der Codegenerierung (Code-Injektion) in Microsoft Office SharePoint erm\u00f6glicht es einem autorisierten Angreifer, Code \u00fcber ein Netzwerk auszuf\u00fchren.<\/td>\n8.8<\/td>\n<\/tr>\n
CVE-2025-49706<\/a><\/td>\nEine unsachgem\u00e4\u00dfe Authentifizierung in Microsoft Office SharePoint erm\u00f6glicht es einem autorisierten Angreifer, Spoofing \u00fcber ein Netzwerk durchzuf\u00fchren.<\/td>\n6.5<\/td>\n<\/tr>\n
CVE-2025-53770<\/a><\/td>\nDie Deserialisierung von nicht vertrauensw\u00fcrdigen Daten in einem lokalen Microsoft SharePoint Server erm\u00f6glicht es einem nicht autorisierten Angreifer, Code \u00fcber ein Netzwerk auszuf\u00fchren.<\/td>\n9.8<\/td>\n<\/tr>\n
CVE-2025-53771<\/a><\/td>\nDie unsachgem\u00e4\u00dfe Einschr\u00e4nkung eines Pfadnamens auf ein eingeschr\u00e4nktes Verzeichnis (Path Traversal) in Microsoft Office SharePoint erm\u00f6glicht es einem autorisierten Angreifer, Spoofing \u00fcber ein Netzwerk durchzuf\u00fchren.<\/td>\n6.5<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tabelle\u00a01: Liste der j\u00fcngsten Sicherheitsl\u00fccken, die Microsoft SharePoint betreffen.<\/p>\n

Diese Sicherheitsl\u00fccken betreffen alle Microsoft SharePoint Enterprise Server 2016 und 2019. CVE-2025-49706 und CVE-2025-53770 gelten auch f\u00fcr Microsoft SharePoint Server Subscription Edition. Microsoft hat erkl\u00e4rt, dass SharePoint Online in Microsoft 365 davon nicht betroffen ist.<\/p>\n

Wir arbeiten derzeit eng mit dem Microsoft Security Response Center (MSRC) zusammen, um sicherzustellen, dass unsere Kunden \u00fcber die neuesten Informationen verf\u00fcgen. Wir benachrichtigen aktiv betroffene Kunden und andere Organisationen. Diese Situation entwickelt sich schnell weiter, sodass es ratsam ist, die Empfehlungen von Microsoft regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen.<\/p>\n

Wir haben beobachtet, dass diese SharePoint-Sicherheitsl\u00fccken aktiv ausgenutzt werden. Angreifer umgehen Identit\u00e4tskontrollen, einschlie\u00dflich Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO), um privilegierten Zugang zu erhalten. Wenn sie sich erst einmal Zugang verschafft haben, schleusen sie sensible Daten aus, implementieren dauerhafte Hintert\u00fcren und stehlen kryptografische Schl\u00fcssel.<\/p>\n

Die Angreifer haben diese Sicherheitsl\u00fccken ausgenutzt, um in Systeme einzudringen, und in einigen F\u00e4llen haben sie bereits eine Persistenz im System hergestellt. Wenn Sie in Ihrem Unternehmen SharePoint mit Internetverbindung nutzen, sollten Sie davon ausgehen, dass Sie kompromittiert wurden. Ein Patching allein reicht nicht aus, um die Bedrohung vollst\u00e4ndig zu beseitigen.<\/p>\n

Wir empfehlen dringendst Organisationen, die anf\u00e4llige SharePoint-L\u00f6sungen On-Premise einsetzen, sofort die folgenden Ma\u00dfnahmen zu ergreifen:<\/p>\n