CISA veröffentlicht Analysebericht zu Malware im Zusammenhang mit SharePoint-Sicherheitslücken

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat einen Malware-Analysebericht (MAR) veröffentlicht. Der Bericht enthält Analysen sowie zugehörige Erkennungssignaturen für Dateien, die mit Schwachstellen in Microsoft SharePoint in Verbindung stehen.

• CVE-2025-49704 [CWE-94: Code Injection],
• CVE-2025-49706 [CWE-287: Improper Authentication],
• CVE-2025-53770 [CWE-502: Deserialization of Untrusted Data], and
• CVE-2025-53771 [CWE-287: Improper Authentication]

Cyberkriminelle haben CVE-2025-49704 und CVE-2025-49706 (in einer öffentlich als „ToolShell“ bekannten Exploit-Kette) miteinander verknüpft, um sich unbefugten Zugriff auf lokale SharePoint-Server zu verschaffen. Die CISA hat sechs Dateien analysiert, darunter zwei Dynamic Link-Library (.DLL)-Dateien, einen Krypto-Schlüssel-Stealer und drei Web-Shells. Cyber-Angreifer könnten diese Malware nutzen, um kryptografische Schlüssel zu stehlen und einen Base64-codierten PowerShell-Befehl auszuführen, um das Hostsystem zu identifizieren und Daten zu exfiltrieren.

Die CISA hat CVE-2025-49704 und CVE-2025-49706 am 22. Juli 2025 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und CVE-2025-53770 am 20. Juli 2025.

Die CISA empfiehlt Unternehmen, die in diesem MAR aufgeführten Indikatoren für Kompromittierung (IOCs) und Erkennungssignaturen zu verwenden, um Malware zu identifizieren.

Herunterladbare Kopie der mit dieser Malware verbundenen IOCs:

Herunterladbare Kopien der SIGMA-Regel zu dieser Malware:

Weitere Informationen zu den Malware-Dateien und den YARA-Regeln für die Erkennung finden Sie unter MAR-251132.c1.v1 Ausnutzung von SharePoint-Sicherheitslücken.

Haftungsausschluss:

Die Informationen in diesem Bericht werden „wie besehen“ und ausschließlich zu Informationszwecken bereitgestellt. CISA unterstützt keine kommerziellen Unternehmen, Produkte, Firmen oder Dienstleistungen, einschließlich der in diesem Dokument verlinkten Unternehmen, Produkte oder Dienstleistungen. Jegliche Bezugnahme auf bestimmte kommerzielle Unternehmen, Produkte, Prozesse oder Dienstleistungen durch Dienstleistungsmarken, Marken, Hersteller oder auf andere Weise stellt keine Billigung, Empfehlung oder Bevorzugung durch CISA dar und impliziert diese auch nicht.

---