Microsoft warnt erneut vor einem neuen, hochkritischen Sicherheitsvorfall bei seinen eigenen Angeboten für Unternehmen und Behörden: Zwei Zero-Day-Lücken in SharePoint Server werden derzeit aktiv von staatlich unterstützten Hackergruppen ausgenutzt, darunter auch gegen US-Behörden wie die National Nuclear Security Administration (NNSA), Universitäten und Energieunternehmen. Selbst ein asiatischer Telekommunikationsanbieter soll betroffen sein. Insgesamt sind über 50 Organisationen Ziel der Attacke, wie Microsoft und Sicherheitsexperten berichten.
Die betroffenen Schwachstellen tragen die Kennungen CVE-2025-53770 und CVE-2025-53771 und wurden von Microsoft in einem außerplanmäßigen Update (Out-of-Band) für SharePoint Server 2019 und die SharePoint Subscription Edition geschlossen. Diese Schwachstelle ist allerdings derart gravierend, dass diese bereits von Angreifern rund um den Globus eingesetzt wird. „ToolShell“ ist der Codename für die laufenden Angriffe, bei denen aktuell gezielt Schwachstellen in lokal betriebenen SharePoint-Servern ausgenutzt werden. Cloud-Dienste wie Microsoft 365 sind immerhin nicht betroffen, wie das US-Energieministerium erleichtert mitteilen durfte. Dort waren laut eigenen Angaben nur „eine sehr kleine Anzahl“ an lokalen Systemen kompromittiert worden. Andere US-Energiebehörden hatten weniger Glück im Unglück: Die US-amerikanische National Nuclear Security Administration, ihrerseits zuständig für die Produktion und Demontage von Nuklearwaffen, wurde laut Berichten ebenfalls Ziel der Angriffe, welche jedoch ohne Folgen gewesen seien.
Laut Microsoft gehen die Angriffe auf das Konto zweier chinesischer Hackergruppen mit den Codenamen Linen Typhoon und Violet Typhoon. Diese haben gezielt öffentlich erreichbare SharePoint-Server ins Visier genommen und kompromittiert. Laut Sicherheitsforschern bereits seit dem 7. Juli 2025. Check Point Security spricht von einer „dringenden und aktiven Bedrohung“ und warnt, dass tausende Organisationen weltweit betroffen sein könnten. Die Angriffe sind in vollem Gange und sind hoch-sophistiziert.
Das solltet ihr jetzt tun
Microsoft und Sicherheitsexperten empfehlen dringend, die veröffentlichten Patches sofort zu installieren. Updates für SharePoint Server 2019 sowie die SharePoint Subscription Edition sind bereits verfügbar. Gleichzeitig sollten Nutzer auf den Maschinen auch das Antimalware Scan Interface (AMSI) aktivieren und den MachineKey rotieren. Öffentliche Zugänge auf SharePoint sollten zudem überprüft werden und Indikatoren für Kompromittierung sollte unverzüglich nachgegangen werden.
Die ToolShell-Kampagne zeigt erneut, wie gefährlich ungepatchte Zero-Day-Schwachstellen sein können, insbesondere in unternehmenskritischer Software wie SharePoint Server. Insbesondere dann, wenn es sich um lokal gehostete Installationen mit direkter Internetanbindung handelt. Die beiden Schwachstellen CVE-2025-53770 und CVE-2025-53771 ermöglichen es Angreifern, über manipulierte HTTP-Anfragen Remote Code Execution (RCE) auszuführen, wodurch beliebiger Code auf dem Zielsystem ausgeführt werden kann.
Dass Microsoft erneut außerplanmäßige Patches („Out-of-Band“) veröffentlicht hat, ist zwar löblich, doch die Tatsache, dass selbst kritische Regierungsstellen offenbar wochenlang verwundbar blieben, zeigt deutliche Defizite beim Patch-Management und der Kommunikation. Besonders problematisch ist die Tatsache, dass es für SharePoint Server 2016 bislang keine Sicherheitsaktualisierung gibt, obwohl viele Unternehmen diese Version noch aktiv nutzen. SharePoint 2019 ist zwar mittlerweile im Extended Supportzeitraum angelangt, jedoch sollten derart kritische Sicherheitslücken in Unternehmenssoftware idealerweise nicht vorhanden sein oder nicht öffentlich werden.
