UPDATE: Microsoft veröffentlicht Hinweise zum Ausnutzen von SharePoint-Sicherheitslücken

Update (24.07.2025): Die CISA aktualisiert weiterhin ihre Berichte zu dieser laufenden Aktivität, da sich die Taktiken, Techniken und Verfahren (TTPs) der Angreifer ständig weiterentwickeln. Dieses Update enthält zusätzliche Informationen zum Einsatz von Ransomware, zu neuen Webshells, die bei der Ausnutzung verwendet werden, sowie verbesserte Hinweise zur Erkennung.

Update (22.07.2025): Diese Warnmeldung wurde aktualisiert, um neu veröffentlichte Informationen von Microsoft zu berücksichtigen und die aktiv ausgenutzten Common Vulnerabilities and Exposures (CVEs) zu korrigieren, die als CVE-2025-49706, eine Netzwerk-Spoofing-Schwachstelle, und CVE-2025-49704, eine Schwachstelle für die Remote-Codeausführung (RCE), bestätigt wurden.

CISA ist bekannt, dass eine Kette von Spoofing- und RCE-Schwachstellen, die CVE-2025-49706 und CVE-2025-49704 betreffen, aktiv ausgenutzt wird, um unbefugten Zugriff auf lokale SharePoint-Server zu ermöglichen. Während der Umfang und die Auswirkungen noch untersucht werden, ermöglicht die öffentlich als „ToolShell“ bezeichnete Kette unauthentifizierten Zugriff auf Systeme bzw. authentifizierten Zugriff über Netzwerk-Spoofing und ermöglicht es böswilligen Akteuren, uneingeschränkten Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen, zu erhalten und Code über das Netzwerk auszuführen. Über die typischen Webshells wie .aspx und .exe hinaus wurden bei der Ausnutzung auch .dll-Payloads beobachtet. Zuletzt wurde auch beobachtet, dass Angreifer Dateien verschlüsseln und die Ransomware „Warlock“ auf kompromittierten Systemen verbreiten.

Obwohl sie nicht aktiv ausgenutzt werden, hat Microsoft die folgenden neuen CVEs identifiziert, die ein potenzielles Risiko darstellen:

• CVE-2025-53771 ist ein Patch-Bypass für CVE-2025-49706.
• CVE-2025-53770 ist ein Patch-Bypass für CVE-2025-49704.

CISA empfiehlt die folgenden Maßnahmen, um die mit der RCE-Kompromittierung verbundenen Risiken zu verringern:

• Installieren Sie die erforderlichen Sicherheitsupdates von Microsoft.
• Konfigurieren Sie Antimalware Scan Interface (AMSI) in SharePoint gemäß den Anweisungen von Microsoft und installieren Sie Microsoft Defender AV auf allen SharePoint-Servern.
  • Wenn AMSI nicht aktiviert werden kann, trennen Sie betroffene Produkte, die öffentlich im Internet verfügbar sind, vom Dienst, bis offizielle Abhilfemaßnahmen verfügbar sind. Sobald Abhilfemaßnahmen bereitgestellt werden, wenden Sie diese gemäß den Anweisungen von CISA und dem Hersteller an.
  • Befolgen Sie die geltenden BOD 22-01-Richtlinien für Cloud-Dienste oder stellen Sie die Verwendung des Produkts ein, wenn keine Abhilfemaßnahmen verfügbar sind.
• Informationen zur Erkennung, Prävention und erweiterten Bedrohungssuche finden Sie in den Microsoft-Dokumenten „Disrupting active exploitation of on-premises SharePoint vulnerabilities“ und „advisory for CVE-2025-49706“. Die CISA empfiehlt Unternehmen, alle Artikel und Sicherheitsupdates zu lesen, die Microsoft am 8. Juli 2025 veröffentlicht hat und die für die in ihrer Umgebung bereitgestellte SharePoint-Plattform relevant sind.
• Über das Patchen hinaus ist es für Unternehmen von entscheidender Bedeutung, ihre Systeme weiter auf Anzeichen einer Ausnutzung zu untersuchen. Insbesondere über .dll-Payloads bereitgestellte Malware ist schwer zu erkennen und kann zum Abrufen von Maschinenschlüsseln verwendet werden.
• Rotieren Sie die ASP.NET-Maschinenschlüssel, und rotieren Sie die ASP.NET-Maschinenschlüssel nach dem Anwenden des Sicherheitsupdates von Microsoft erneut und starten Sie den IIS-Webserver neu.
• Trennen Sie öffentlich zugängliche Versionen von SharePoint Server, die das Ende ihrer Lebensdauer (EOL) oder den Ende des Supports (EOS) erreicht haben, vom Internet. Beispielsweise sind SharePoint Server 2013 und frühere Versionen nicht mehr verfügbar und sollten nicht mehr verwendet werden, wenn sie noch im Einsatz sind.
• Überwachen Sie verdächtige Anfragen an die Abmeldeseite: /_layouts/SignOut.aspxist der genaue HTTP-Header, den Angreifer verwenden, um ToolPane.aspx für den ersten Zugriff auszunutzen.
• Überwachen Sie POST-Anfragen an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
• Führen Sie insbesondere zwischen dem 18. und 19. Juli 2025 eine Überprüfung auf die IP-Adressen 107.191.58[.]76, 104.238.159[.]149 und 96.9.125[.]147 durch.
• Aktualisieren Sie das Intrusion Prevention System und die Web Application Firewall (WAF)-Regeln, um Exploit-Muster und anomales Verhalten zu blockieren. Weitere Informationen finden Sie in den Leitlinien der CISA zur Implementierung von SIEM und SOAR.
• Implementieren Sie eine umfassende Protokollierung, um Exploit-Aktivitäten zu identifizieren. Weitere Informationen finden Sie in den Best Practices für Ereignisprotokollierung und Bedrohungserkennung der CISA.
• Setzen Sie robuste Cyber-Hygiene- und Härtungsmaßnahmen ein, um sich auf Ransomware-Vorfälle vorzubereiten, diese zu verhindern und deren Auswirkungen zu mindern. Weitere Informationen finden Sie im #StopRansomware-Leitfaden der CISA und ihrer Partner.
• Überprüfen und minimieren Sie Layout- und Administratorrechte.

Weitere Informationen zu dieser Schwachstelle finden Sie im Bericht von Eye Security und im Beitrag von Palo Alto Networks Unit42. CVE-2025-53770 wurde am 20. Juli 2025 in den Katalog „Known Exploited Vulnerabilities (KEV)” der CISA aufgenommen. CVE-2025-49706 und CVE-2025-49704 wurden am 22. Juli 2025 in den KEV aufgenommen. –

Hinweis: Diese Warnmeldung kann aktualisiert werden, um neue Richtlinien der CISA oder anderer Stellen zu berücksichtigen.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky