Viele Nutzer werden über Zero-Day in Microsoft-Produkt angegriffen
Eine schwerwiegende Sicherheitslücke hat zu Angriffen auf eine ganze Reihe von Microsoft-Kunden geführt. Betroffen ist der SharePoint Server, der in vielen Firmennetzen zum Einsatz kommt. Gänzlich neu ist das Problem hinter der Zero-Day-Lücke nicht.
Der Bug betrifft ausschließlich lokal betriebene SharePoint-Server und erlaubt es Angreifern, über das Netzwerk ohne Authentifizierung beliebigen Code auszuführen. Dabei machen sich die Angreifer die Art und Weise zunutze, wie SharePoint unkontrolliert Datenobjekte verarbeitet. Sobald sie Zugriff erlangt haben, können sie mithilfe gestohlener MachineKeys manipulierte __VIEWSTATE-Payloads erzeugen, die vom System als legitim erkannt werden. Dies erlaubt es ihnen, sich dauerhaft im System festzusetzen oder sich innerhalb des Netzwerks weiterzubewegen - oft ohne sofortige Entdeckung.
Microsoft wurde von Viettel Cyber Security über die Lücke informiert. Die Schwachstelle wurde im Rahmen von Trend Micros Zero Day Initiative (ZDI) entdeckt. Microsoft hat recht schnell ein offizielles Sicherheitsupdate veröffentlicht. Trotzdem rät der Hersteller seinen Kunden weiterhin, ihre Systeme zusätzlich abzusichern. Dazu gehört die Aktivierung der Antimalware Scan Interface (AMSI)-Integration sowie der Einsatz von Microsoft Defender Antivirus und Defender for Endpoint.
Als besonders brisant erwies sich, dass eine Angriffskette namens "ToolShell" die Zero-Day-Lücke mit einer weiteren Spoofing-Schwachstelle kombinierte. Sicherheitsforscher vermuten, dass diese Kette durch eine gezielte Manipulation des HTTP-Referers direkt zur neuen Schwachstelle führt. Dabei werden ASPX-Payloads über PowerShell eingeschleust, um die Konfigurationsschlüssel des Servers zu stehlen - ein entscheidender Schritt, um den Fernzugriff dauerhaft aufrechtzuerhalten.
Da auch nach der Installation von Patches gestohlene Schlüssel nicht automatisch ersetzt werden, bleibt eine vollständige Absicherung in vielen Fällen schwierig. Experten raten daher zu umfassenden forensischen Analysen und enger Zusammenarbeit mit Sicherheitsanbietern.
Siehe auch:
Zugang zum ganzen Netzwerk
Die Schwachstelle mit der Kennung CVE-2025-53770 wird derzeit in einer breit angelegten Angriffskampagne aktiv ausgenutzt. Laut Microsoft handelt es sich bei ihr um eine Variante eines bereits im Juli 2025 gepatchten Fehlers (CVE-2025-49704), der die Remote-Code-Ausführung durch fehlerhafte Code-Deserialisierung ermöglicht.Der Bug betrifft ausschließlich lokal betriebene SharePoint-Server und erlaubt es Angreifern, über das Netzwerk ohne Authentifizierung beliebigen Code auszuführen. Dabei machen sich die Angreifer die Art und Weise zunutze, wie SharePoint unkontrolliert Datenobjekte verarbeitet. Sobald sie Zugriff erlangt haben, können sie mithilfe gestohlener MachineKeys manipulierte __VIEWSTATE-Payloads erzeugen, die vom System als legitim erkannt werden. Dies erlaubt es ihnen, sich dauerhaft im System festzusetzen oder sich innerhalb des Netzwerks weiterzubewegen - oft ohne sofortige Entdeckung.
Microsoft wurde von Viettel Cyber Security über die Lücke informiert. Die Schwachstelle wurde im Rahmen von Trend Micros Zero Day Initiative (ZDI) entdeckt. Microsoft hat recht schnell ein offizielles Sicherheitsupdate veröffentlicht. Trotzdem rät der Hersteller seinen Kunden weiterhin, ihre Systeme zusätzlich abzusichern. Dazu gehört die Aktivierung der Antimalware Scan Interface (AMSI)-Integration sowie der Einsatz von Microsoft Defender Antivirus und Defender for Endpoint.
Als besonders brisant erwies sich, dass eine Angriffskette namens "ToolShell" die Zero-Day-Lücke mit einer weiteren Spoofing-Schwachstelle kombinierte. Sicherheitsforscher vermuten, dass diese Kette durch eine gezielte Manipulation des HTTP-Referers direkt zur neuen Schwachstelle führt. Dabei werden ASPX-Payloads über PowerShell eingeschleust, um die Konfigurationsschlüssel des Servers zu stehlen - ein entscheidender Schritt, um den Fernzugriff dauerhaft aufrechtzuerhalten.
Patch allein reicht nicht
Bislang wurden nach den vorliegenden Erkenntnissen mehr als 85 SharePoint-Server kompromittiert, darunter Systeme von 29 Unternehmen und Behörden weltweit. Die US-amerikanische Cybersicherheitsbehörde CISA bestätigte die aktive Ausnutzung und rief betroffene Organisationen zur sofortigen Umsetzung der empfohlenen Schutzmaßnahmen auf.Da auch nach der Installation von Patches gestohlene Schlüssel nicht automatisch ersetzt werden, bleibt eine vollständige Absicherung in vielen Fällen schwierig. Experten raten daher zu umfassenden forensischen Analysen und enger Zusammenarbeit mit Sicherheitsanbietern.
Zusammenfassung
- SharePoint Zero-Day-Lücke CVE-2025-53770 ermöglicht unautorisierten Zugriff
- Die Schwachstelle betrifft lokale Server und erlaubt Code-Ausführung ohne Login
- Angreifer nutzen fehlerhafte Deserialisierung und gestohlene MachineKeys aus
- Mehr als 85 Server bei 29 Organisationen weltweit wurden bereits kompromittiert
- Microsoft empfiehlt Patches sowie zusätzliche Schutzmaßnahmen wie AMSI-Integration
- Besonders gefährlich ist die Kombination mit einer Spoofing-Schwachstelle
- Selbst nach dem Patchen können gestohlene Schlüssel weiterhin missbraucht werden
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- The Witcher: CD Projekt plant angeblich neues Multiplayer-Spiel
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen