22. Juli 2025
Die CISA hat zwei neue Schwachstellen in ihren Katalog „Known Exploited Vulnerabilities (KEV)” aufgenommen, da Hinweise auf aktive Ausnutzung vorliegen.
- CVE-2025-49704 Microsoft SharePoint-Sicherheitslücke durch Codeeinfügung
- CVE-2025-49706 Microsoft SharePoint-Sicherheitslücke durch unsachgemäße Authentifizierung
CVE-2025-49704
Veröffentlicht: 08.07.2025
Aktualisiert: 21.07.2025
Titel: Sicherheitslücke in Microsoft SharePoint ermöglicht Remote-Codeausführung
Beschreibung
Eine unsachgemäße Kontrolle der Codegenerierung („Code-Injection“) in Microsoft Office SharePoint ermöglicht es einem autorisierten Angreifer, Code über ein Netzwerk auszuführen.
Standardstatus: unbekannt
betroffen
- betroffen ab 16.0.0 vor 16.0.5508.1000
Anbieter
Microsoft
Produkt
Microsoft SharePoint Server 2019
Plattformen
x64-basierte Systeme
Versionen 1 Gesamt
Standardstatus: unbekannt
betroffen
- betroffen ab 16.0.0 vor 16.0.10417.20027
Referenzen 1 Gesamt
CVE-2025-49706
Veröffentlicht: 08.07.2025
Aktualisiert: 21.07.2025
Titel: Sicherheitslücke durch Spoofing in Microsoft SharePoint Server
Beschreibung
Eine unsachgemäße Authentifizierung in Microsoft Office SharePoint ermöglicht es einem autorisierten Angreifer, Spoofing über ein Netzwerk durchzuführen.
Anbieter
Microsoft
Produkt
Microsoft SharePoint Enterprise Server 2016
Plattformen
x64-basierte Systeme
Versionen 1 Gesamt
Standardstatus: unbekannt
Betroffen
- Betroffen von 16.0.0 vor 16.0.5508.1000
Anbieter
Microsoft
Produkt
Microsoft SharePoint Server 2019
Plattformen
x64-basierte Systeme
Versionen 1 Gesamt
Standardstatus: unbekannt
betroffen
- betroffen ab 16.0.0 vor 16.0.10417.20027
Anbieter
Microsoft
Produkt
Microsoft SharePoint Server Subscription Edition
Plattformen
x64-basierte Systeme
Standardstatus: unbekannt
betroffen
- betroffen ab 16.0.0 vor 16.0.18526.20424
Referenzen 1
UPDATE: Microsoft veröffentlicht Hinweise zur Ausnutzung von SharePoint-Sicherheitslücken
Diese Warnmeldung wurde aktualisiert, um neu veröffentlichte Informationen von Microsoft zu berücksichtigen und die aktiv ausgenutzten Common Vulnerabilities and Exposures (CVEs) zu korrigieren, die als CVE-2025-49706, eine Netzwerk-Spoofing-Sicherheitslücke, und CVE-2025-49704, eine Sicherheitslücke mit Remote-Codeausführung (RCE), bestätigt wurden.
CISA ist bekannt, dass eine Kette von Spoofing- und RCE-Schwachstellen, die CVE-2025-49706 und CVE-2025-49704 betreffen, aktiv ausgenutzt wird, um unbefugten Zugriff auf lokale SharePoint-Server zu ermöglichen. Während der Umfang und die Auswirkungen noch untersucht werden, ermöglicht die öffentlich als „ToolShell“ bezeichnete Kette unauthentifizierten Zugriff auf Systeme bzw. authentifizierten Zugriff durch Netzwerk-Spoofing und ermöglicht es böswilligen Akteuren, vollständigen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen, zu erhalten und Code über das Netzwerk auszuführen.
Obwohl sie nicht aktiv ausgenutzt werden, hat Microsoft die folgenden neuen CVEs identifiziert, die ein potenzielles Risiko darstellen:
CVE-2025-53771 ist ein Patch-Bypass für CVE-2025-49706.
CVE-2025-53770 ist ein Patch-Bypass für CVE-2025-49704.
Die CISA empfiehlt die folgenden Maßnahmen, um die mit der RCE-Sicherheitslücke verbundenen Risiken zu verringern:
- Installieren Sie die erforderlichen Sicherheitsupdates von Microsoft.
- Konfigurieren Sie Antimalware Scan Interface (AMSI) in SharePoint gemäß den Anweisungen von Microsoft und implementieren Sie Microsoft Defender AV auf allen SharePoint-Servern.
- Wenn AMSI nicht aktiviert werden kann, trennen Sie betroffene Produkte, die öffentlich im Internet verfügbar sind, vom Dienst, bis offizielle Abhilfemaßnahmen verfügbar sind. Sobald Abhilfemaßnahmen bereitgestellt werden, wenden Sie diese gemäß den Anweisungen von CISA und dem Hersteller an.
- Befolgen Sie die geltenden BOD 22-01-Richtlinien für Cloud-Dienste oder stellen Sie die Verwendung des Produkts ein, wenn keine Abhilfemaßnahmen verfügbar sind.
- Informationen zu Maßnahmen zur Erkennung, Prävention und erweiterten Bedrohungssuche finden Sie in den Microsoft-Dokumenten Unterbinden der aktiven Ausnutzung von Schwachstellen in lokalen SharePoint-Installationen und Sicherheitshinweis zu CVE-2025-49706. Die CISA empfiehlt Unternehmen, alle Artikel und Sicherheitsupdates zu lesen, die Microsoft am 8. Juli 2025 veröffentlicht hat und die für die in ihrer Umgebung bereitgestellte SharePoint-Plattform relevant sind.
- Wechseln Sie die ASP.NET-Maschinenschlüssel, und wechseln Sie nach der Anwendung des Microsoft-Sicherheitsupdates die ASP.NET-Maschinenschlüssel erneut und starten Sie den IIS-Webserver neu.
- Trennen Sie öffentlich zugängliche Versionen von SharePoint Server, die das Ende ihrer Lebensdauer (EOL) oder den Ende des Supports (EOS) erreicht haben, vom Internet. Beispielsweise sind SharePoint Server 2013 und frühere Versionen nicht mehr unterstützt und sollten nicht mehr verwendet werden, wenn sie noch im Einsatz sind.
- Überwachen Sie POSTs an
/_layouts/15/ToolPane.aspx?DisplayMode=Edit - Führen Sie insbesondere zwischen dem 18. und 19. Juli 2025 eine Überprüfung auf die IP-Adressen 107.191.58[.]76, 104.238.159[.]149 und 96.9.125[.]147 durch.
- Aktualisieren Sie das Intrusion Prevention System und die Web Application Firewall (WAF)-Regeln, um Exploit-Muster und anomales Verhalten zu blockieren. Weitere Informationen finden Sie in den Leitlinien der CISA zur Implementierung von SIEM und SOAR.
- Implementieren Sie eine umfassende Protokollierung, um Exploit-Aktivitäten zu identifizieren. Weitere Informationen finden Sie in den Best Practices der CISA für Ereignisprotokollierung und Bedrohungserkennung.
Überprüfen und minimieren Sie Layout- und Administratorrechte.Weitere Informationen zu dieser Schwachstelle finden Sie im Bericht von Eye Security und im Beitrag von Palo Alto Networks Unit42. CVE-2025-53770 wurde am 20. Juli 2025 in den Katalog „Known Exploited Vulnerabilities“ (KEV) der CISA aufgenommen.
Update: CVE-2025-49706 und CVE-2025-49704 wurden am 22. Juli 2025 in den KEV aufgenommen.
Hinweis: Diese Warnmeldung wird möglicherweise aktualisiert, um neue Richtlinien der CISA oder anderer Stellen zu berücksichtigen.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Der Wettbewerbsvorteil dezentraler Identität im europäischen Finanzwesen
Wo sind Deine Daten hin?
Autonome APTs: Die Claude-basierte Operation wird nicht die letzte sein
Stand der Technik umsetzen: Wie Unternehmen jetzt handeln sollten
Industrielles Phishing gegen Italiens Infrastruktur: Group‑IB entdeckt automatisiertes Aruba‑Imitierendes Phishing‑Kit
Studien
49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum
Deutschland im Glasfaserausbau international abgehängt
NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand
BSI-Lagebericht 2025: Fortschritte in der Cybersicherheit – Deutschland bleibt verwundbar
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Whitepaper
Industrial AI: KI als Treiber der Wettbewerbsfähigkeit
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Hamsterrad-Rebell
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
