Neue SharePoint-Sicherheitslücke wird aktiv ausgenutzt – CISA warnt vor schwerwiegender RCE-Bedrohung

Die US-amerikanische Cybersicherheitsbehörde CISA warnt vor einer neu entdeckten Schwachstelle in Microsoft SharePoint, die derzeit aktiv von Angreifern ausgenutzt wird. Die Sicherheitslücke mit der Kennung CVE-2025-53770 ermöglicht die Remote-Codeausführung (RCE) und eröffnet damit unbefugten Zugriff auf lokal betriebene SharePoint-Server.

Nach ersten Erkenntnissen handelt es sich bei der Schwachstelle um eine Variante der bereits bekannten Lücke CVE-2025-49706. Über das als „ToolShell“ bezeichnete Exploit können Angreifer nicht nur ohne Authentifizierung auf sensible Daten zugreifen, sondern auch beliebigen Code im Netzwerk ausführen. Dabei sind nicht nur SharePoint-Inhalte betroffen, sondern auch das zugrunde liegende Dateisystem sowie interne Konfigurationsdaten.

Der volle Umfang der Bedrohung wird derzeit noch untersucht. Sicherheitsexperten raten Unternehmen jedoch bereits jetzt zu erhöhter Wachsamkeit und einer raschen Prüfung ihrer Systeme auf potenzielle Kompromittierung.

Die CISA empfiehlt die folgende Maßnahmen, um die mit der RCE-Sicherheitslücke verbundenen Risiken zu verringern:

• Konfigurieren Sie Antimalware Scan Interface (AMSI) in SharePoint und implementieren Sie Microsoft Defender AV auf allen SharePoint-Servern.
  • Wenn AMSI nicht aktiviert werden kann, trennen Sie betroffene Produkte, die öffentlich im Internet zugänglich sind, vom Dienst, bis offizielle Abhilfemaßnahmen verfügbar sind. Sobald Abhilfemaßnahmen bereitgestellt werden, wenden Sie diese gemäß den Anweisungen der CISA und des Herstellers an.
  • Befolgen Sie die geltenden BOD 22-01-Richtlinien für Cloud-Dienste oder stellen Sie die Verwendung des Produkts ein, wenn keine Abhilfemaßnahmen verfügbar sind.
• Überwachen Sie POSTs an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
• Führen Sie Scans nach den IPs 107.191.58[.]76, 104.238.159[.]149und 96.9.125[.]147durch, insbesondere zwischen dem 18. und 19. Juli 2025.
• Aktualisieren Sie das Intrusion Prevention System und die Webanwendungs-Firewall-Regeln, um Exploit-Muster und anomales Verhalten zu blockieren. Weitere Informationen finden Sie in den Leitlinien zur SIEM- und SOAR-Implementierung der CISA.
• Implementieren Sie eine umfassende Protokollierung, um Exploit-Aktivitäten zu identifizieren. Weitere Informationen finden Sie in den Best Practices für Ereignisprotokollierung und Bedrohungserkennung der CISA.
• Überprüfen und minimieren Sie Layout- und Administratorrechte.

Weitere Informationen zu dieser Schwachstelle finden Sie im Bericht von Eye Security und im Beitrag von Palo Alto Unit42. CVE-2025-53770 wurde am 20. Juli 2025 in den Katalog „Known Exploited Vulnerabilities (KEV)” der CISA aufgenommen.

Hinweis: Diese Warnmeldung kann aktualisiert werden, um neue Richtlinien der CISA oder anderer Stellen zu berücksichtigen.

Unternehmen sollten Vorfälle und ungewöhnliche Aktivitäten an das rund um die Uhr besetzte Operations Center der CISA unter Report@cisa.gov oder (888) 282-0870 melden.