Chinesische Hacker nutzen Zero-Day-Schwachstellen in SharePoint-Servern aus – Microsoft warnt eindringlich

Das Microsoft Threat Intelligence Team berichtet am 22. Juli 2025 über gezielte Cyberangriffe chinesischer Hackergruppen auf lokale SharePoint-Server. Dabei kommen bislang unbekannte Zero-Day-Schwachstellen zum Einsatz, wie das Unternehmen mitteilt. Bereits am 19. Juli hatte das Microsoft Security Response Center (MSRC) über aktive Ausnutzungen der Schwachstellen CVE-2025-49706 (Spoofing) und CVE-2025-49704 (Remote Code Execution) informiert. Betroffen sind ausschließlich lokale SharePoint-Installationen – SharePoint Online in Microsoft 365 ist laut Microsoft nicht gefährdet.

Infolge der entdeckten Angriffe hat Microsoft umfassende Sicherheitsupdates für alle unterstützten SharePoint-Versionen (Subscription Edition, 2019 und 2016) bereitgestellt. Unternehmen werden dringend aufgefordert, diese umgehend zu installieren.

Die Updates schließen auch zwei weitere Schwachstellen: CVE-2025-53770, die im Zusammenhang mit CVE-2025-49704 steht, sowie CVE-2025-53771, die Schutzmaßnahmen gegen CVE-2025-49706 umgeht.

Microsoft macht konkret drei chinesische staatliche Akteure für die Angriffe verantwortlich: Linen Typhoon, Violet Typhoon und Storm-2603. Weitere potenzielle Angreifer würden derzeit noch untersucht. Aufgrund der raschen Verbreitung geht Microsoft davon aus, dass diese Exploits auch künftig gezielt gegen ungepatchte Systeme eingesetzt werden.

In dem Blogbeitrag beschreibt das Unternehmen neben den Schwachstellen auch die beobachteten Angriffstechniken. Microsoft kündigt an, den Beitrag mit neuen Erkenntnissen laufend zu aktualisieren.

Als Schutzmaßnahme empfiehlt Microsoft unter anderem den Einsatz aktueller Sicherheitsupdates, die Integration der Antimalware Scan Interface (AMSI) in Kombination mit Microsoft Defender Antivirus, sowie die Aktivierung des Vollmodus von AMSI. Zudem sollten Organisationen ASP.NET-Maschinenschlüssel rotieren, die Internetinformationsdienste (IIS) neu starten und geeignete Endpoint-Security-Lösungen einsetzen.

Product	Security update link
Microsoft SharePoint Server Subscription Edition	Security Update for Microsoft SharePoint Server Subscription Edition (KB5002768)
Microsoft SharePoint Server 2019 (both updates should be installed)	Security Update for Microsoft SharePoint 2019 (KB5002754) Security Update for Microsoft SharePoint Server 2019 Language Pack (KB5002753)
Microsoft SharePoint Server 2016 (both updates should be installed)	Security Update for Microsoft SharePoint Enterprise Server 2016 (KB5002760) Security Update for Microsoft SharePoint Enterprise Server 2016 Language Pack (KB5002759)

Beobachtete Taktiken und Techniken

Microsoft hat mehrere Bedrohungsakteure beobachtet, die Aufklärungsmaßnahmen durchgeführt und versucht haben, lokale SharePoint-Server über eine POST-Anfrage an den ToolPane-Endpunkt auszunutzen.

POST-Anfrage an den Endpunkt „ToolPane“ / Quelle: Microsoft

Aktivitäten nach der Ausnutzung

Bedrohungsakteure, die die Authentifizierungsumgehung und die Exploits zur Remote-Codeausführung gegen anfällige lokale SharePoint-Server erfolgreich ausgeführt haben, wurden dabei beobachtet, dass sie in ihrer Payload nach der Ausnutzung eine Web-Shell verwendeten.

Bereitstellung der Web-Shell

Bei den beobachteten Angriffen senden die Angreifer eine manipulierte POST-Anfrage an den SharePoint-Server und laden ein schädliches Skript mit dem Namen „spinstall0.aspx“ hoch. Die Angreifer haben den Dateinamen auch auf verschiedene Weise geändert, z. B. in „spinstall.aspx“, „spinstall1.aspx“, „spinstall2.aspx“ usw. Das Skript „spinstall0.aspx“ enthält Befehle zum Abrufen von MachineKey-Daten und zum Zurücksenden der Ergebnisse an den Benutzer über eine GET-Anfrage, wodurch die Angreifer das Schlüsselmaterial stehlen können.

Verwandte IOCs und Suchabfragen

Microsoft stellt Indikatoren für Kompromittierung (IOCs) zur Identifizierung und Suche nach dieser Webshell im Abschnitt „Indikatoren für Kompromittierung“ dieses Blogs zur Verfügung. Microsoft stellt verwandte Suchabfragen zur Verfügung, um diese abgelegte Datei im Abschnitt „Suchabfragen“ dieses Blogs zu finden.

Zuordnung

Bereits am 7. Juli 2025 deuteten Analysen von Microsoft darauf hin, dass Bedrohungsakteure versuchten, CVE-2025-49706 und CVE-2025-49704 auszunutzen, um sich ersten Zugriff auf Zielorganisationen zu verschaffen. Zu diesen Akteuren gehören die chinesischen staatlichen Akteure Linen Typhoon und Violet Typhoon sowie ein weiterer in China ansässiger Akteur namens Storm-2603. Die bei diesen Exploit-Angriffen verwendeten TTPs stimmen mit zuvor beobachteten Aktivitäten dieser Bedrohungsakteure überein.

Linen Typhoon

Seit 2012 konzentriert sich Linen Typhoon auf den Diebstahl geistigen Eigentums und zielt dabei vor allem auf Organisationen aus den Bereichen Regierung, Verteidigung, strategische Planung und Menschenrechte ab. Dieser Bedrohungsakteur ist dafür bekannt, Drive-by-Kompromittierungen zu verwenden, und hat in der Vergangenheit auf vorhandene Exploits zurückgegriffen, um Organisationen zu kompromittieren.

Violet Typhoon

Seit 2015 widmet sich die Aktivitätsgruppe Violet Typhoon der Spionage und zielt dabei in erster Linie auf ehemalige Regierungs- und Militärangehörige, Nichtregierungsorganisationen (NGOs), Thinktanks, Hochschulen, digitale und Printmedien sowie den Finanz- und Gesundheitssektor in den Vereinigten Staaten, Europa und Ostasien ab. Diese Gruppe sucht beharrlich nach Schwachstellen in der exponierten Webinfrastruktur der Zielorganisationen und nutzt die entdeckten Schwachstellen aus, um Web-Shells zu installieren.

Storm-2603

Die Gruppe, die Microsoft als Storm-2603 verfolgt, wird mit mittlerer Sicherheit als in China ansässiger Bedrohungsakteur eingestuft. Microsoft hat keine Verbindungen zwischen Storm-2603 und anderen bekannten chinesischen Bedrohungsakteuren festgestellt. Microsoft verfolgt diesen Bedrohungsakteur im Zusammenhang mit Versuchen, MachineKeys über lokale SharePoint-Schwachstellen zu stehlen. Obwohl Microsoft in der Vergangenheit beobachtet hat, dass dieser Bedrohungsakteur die Ransomware Warlock und Lockbit einsetzt, kann Microsoft derzeit die Ziele des Bedrohungsakteurs nicht mit Sicherheit beurteilen.

Weitere Akteure könnten diese Exploits nutzen, um ungepatchte lokale SharePoint-Systeme anzugreifen, was die Notwendigkeit für Unternehmen unterstreicht, sofort Abhilfemaßnahmen und Sicherheitsupdates zu implementieren.

Richtlinien zur Risikominderung und zum Schutz

Microsoft hat Sicherheitsupdates veröffentlicht, die Kunden, die alle unterstützten Versionen von SharePoint verwenden, die von CVE-2025-53770 und CVE-2025-53771 betroffen sind, vollständig schützen. Kunden sollten diese Updates sofort installieren.

Kunden, die SharePoint Server verwenden, sollten die folgenden Anweisungen befolgen.

1. Verwenden Sie unterstützte Versionen von Microsoft SharePoint Server vor Ort oder aktualisieren Sie auf diese.
   • Unterstützte Versionen: SharePoint Server 2016, 2019 und SharePoint Subscription Edition
2. Installieren Sie die neuesten Sicherheitsupdates.
3. Stellen Sie sicher, dass die Antimalware-Scan-Schnittstelle aktiviert und korrekt konfiguriert ist, und installieren Sie Defender Antivirus auf allen SharePoint-Servern
   • Konfigurieren Sie die Integration der Antimalware-Scan-Schnittstelle (AMSI) in SharePoint, aktivieren Sie den Vollmodus für optimalen Schutz, und stellen Sie Defender Antivirus auf allen SharePoint-Servern bereit, um nicht authentifizierte Angreifer daran zu hindern, diese Sicherheitslücke auszunutzen.
   • Hinweis: Die AMSI-Integration wurde standardmäßig im Sicherheitsupdate vom September 2023 für SharePoint Server 2016/2019 und im Feature-Update Version 23H2 für SharePoint Server Subscription Edition aktiviert.
   • Wenn Sie AMSI nicht aktivieren können, empfehlen wir Ihnen, die Verbindung Ihres Servers zum Internet zu trennen, bis Sie das oben verlinkte aktuelle Sicherheitsupdate installiert haben. Wenn die Verbindung des Servers zum Internet nicht getrennt werden kann, sollten Sie die Verwendung eines VPN oder Proxys mit Authentifizierung oder eines Authentifizierungsgateways in Betracht ziehen, um nicht authentifizierten Datenverkehr zu beschränken.
4. Microsoft Defender für Endpoint oder gleichwertige Lösungen bereitstellen
   • Wir empfehlen Unternehmen, Defender für Endpoint bereitzustellen, um Aktivitäten nach einer Exploit-Ausnutzung zu erkennen und zu blockieren.
5. Rotieren Sie die ASP.NET-Maschinenschlüssel von SharePoint Server
   • Nach dem Anwenden der oben genannten neuesten Sicherheitsupdates oder dem Aktivieren von AMSI ist es wichtig, dass Kunden die ASP.NET-Maschinenschlüssel von SharePoint Server rotieren und Internetinformationsdienste (IIS) auf allen SharePoint-Servern neu starten.
     1. Manuell über PowerShell
        • Um die Maschinenschlüssel mit PowerShell zu aktualisieren, verwenden Sie das Cmdlet „Set-SPMachineKey“.
     2. Manuell über die zentrale Verwaltung: Lösen Sie den Timer-Job für die Rotation der Maschinenschlüssel aus, indem Sie die folgenden Schritte ausführen:
        • Navigieren Sie zur Website „Zentrale Verwaltung”.
        • Gehen Sie zu „Überwachung” -> „Jobdefinition überprüfen”.
        • Suchen Sie nach „Maschinenschlüsselrotationsjob” und wählen Sie „Jetzt ausführen”.
   • Starten Sie nach Abschluss der Rotation IIS auf allen SharePoint-Servern mit iisreset.exe neu.
   • HINWEIS: Wenn Sie AMSI nicht aktivieren können, müssen Sie Ihre Schlüssel nach der Installation des neuen Sicherheitsupdates rotieren.

Indikatoren für Kompromittierung

Indicator	Type	Description
Spinstall0.aspx	File name	Web shell used by threat actors   Actors have also modified the file name in a variety of ways, such as spinstall.aspx, spinstall1.aspx, spinstall2.aspx
debug_dev.js	File name	File containing web config data, including MachineKey data
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514	SHA-256	Hash of spinstall0.aspx
c34718cbb4c6.ngrok-free[.]app/file.ps1	URL	Ngrok tunnel delivering PowerShell to C2
\1[5-6]\TEMPLATE\LAYOUTS\debug_dev.js	File path	File path for stolen web configs
131.226.2[.]6	IP	Post exploitation C2
134.199.202[.]205	IP	IP address exploiting SharePoint vulnerabilities
104.238.159[.]149	IP	IP address exploiting SharePoint vulnerabilities
188.130.206[.]168	IP	IP address exploiting SharePoint vulnerabilities

References

• CodeWhiteSec POC (X)
• Khoa Dinh POC (X)
• CVE-2025-53770 (MSRC)
• CVE-2025-49704 (MSRC
• CVE-2025-49706 (MSRC
• CVE-2025-53771 (MSRC)

Detaillierte Hintergründe liefert der Microsoft-Blog.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky