SharePoint-Hacks: Laut Microsoft steckten drei China-Gruppen dahinter
Microsoft hat erklärt, dass die jüngsten Zero-Day-Exploits gegen SharePoint-Server von bekannten chinesischen Hackergruppen ausgingen. Bereits seit dem 7. Juli 2025 beobachtete man demnach Aktivitäten der Gruppen Linen Typhoon und Violet Typhoon.
Den Angreifern gelingt es laut Microsoft, über manipulierte Anfragen an sogenannte ToolPane-Endpunkte eine Authentifizierung zu umgehen und Schadcode auszuführen. Dabei nutzen sie Sicherheitslücken aus, die aus unvollständigen Patches für die Schwachstellen CVE-2025-49706 (Spoofing) und CVE-2025-49704 (Remote Code Execution) resultieren. Die Umgehungsmechanismen wurden unter den Kennungen CVE-2025-53771 und CVE-2025-53770 dokumentiert.
Die Kompromittierung erfolgt häufig durch das Einschleusen einer Web-Shell namens spinstall0.aspx, die in verschiedenen Varianten eingesetzt wird. Diese erlaubt den Angreifern unter anderem das Auslesen sensibler MachineKey-Daten. Der IT-Sicherheitsforscher Rakesh Krishnan konnte im Zuge forensischer Analysen drei ungewöhnliche Prozesse innerhalb des Microsoft Edge-Browsers identifizieren, die offenbar zur Verschleierung der Aktivitäten und zur Umgehung von Sicherheitsmechanismen dienen. Die Angriffe imitieren legitime Systemprozesse und tarnen sich geschickt als harmlose Updates.
Die jüngste Entdeckung reiht sich ein in eine Serie chinesisch gesteuerter Cyberangriffe. Bereits 2021 war Microsoft Ziel einer massiven Angriffswelle durch die Gruppe Silk Typhoon (auch bekannt als Hafnium), bei der Exchange-Server über mehrere Zero-Day-Lücken kompromittiert wurden. Erst Anfang Juli wurde ein 33-jähriger Chinese in Italien verhaftet, dem die Beteiligung an diesen früheren Angriffen zur Last gelegt wird.
Siehe auch:
Alte Bekannte
Diese Organisationen hätten sich Zugriff auf ungepatchte Systeme verschafft, hieß es in einem neuen Bericht Microsofts zur Auswertung der jüngsten Probleme. Zudem wurde eine dritte, bislang weniger bekannte Gruppe mit dem Codenamen Storm-2603 identifiziert, die ebenfalls von den Schwachstellen Gebrauch macht.Den Angreifern gelingt es laut Microsoft, über manipulierte Anfragen an sogenannte ToolPane-Endpunkte eine Authentifizierung zu umgehen und Schadcode auszuführen. Dabei nutzen sie Sicherheitslücken aus, die aus unvollständigen Patches für die Schwachstellen CVE-2025-49706 (Spoofing) und CVE-2025-49704 (Remote Code Execution) resultieren. Die Umgehungsmechanismen wurden unter den Kennungen CVE-2025-53771 und CVE-2025-53770 dokumentiert.
Die Kompromittierung erfolgt häufig durch das Einschleusen einer Web-Shell namens spinstall0.aspx, die in verschiedenen Varianten eingesetzt wird. Diese erlaubt den Angreifern unter anderem das Auslesen sensibler MachineKey-Daten. Der IT-Sicherheitsforscher Rakesh Krishnan konnte im Zuge forensischer Analysen drei ungewöhnliche Prozesse innerhalb des Microsoft Edge-Browsers identifizieren, die offenbar zur Verschleierung der Aktivitäten und zur Umgehung von Sicherheitsmechanismen dienen. Die Angriffe imitieren legitime Systemprozesse und tarnen sich geschickt als harmlose Updates.
Absicherung nötig
Laut Microsoft ist mit einer fortlaufenden Nutzung dieser Exploits zu rechnen - insbesondere bei Systemen, die nicht zeitnah abgesichert werden. Unternehmen werden daher dringend aufgefordert, aktuelle Sicherheitsupdates für SharePoint Server 2016, 2019 und die Subscription Edition einzuspielen, die betroffenen Machine Keys zu rotieren und Internet Information Services (IIS) neu zu starten. Zusätzlich sollten Schutzlösungen wie Microsoft Defender for Endpoint sowie die Antimalware Scan Interface (AMSI) in der Vollmodus-Konfiguration eingesetzt werden.Die jüngste Entdeckung reiht sich ein in eine Serie chinesisch gesteuerter Cyberangriffe. Bereits 2021 war Microsoft Ziel einer massiven Angriffswelle durch die Gruppe Silk Typhoon (auch bekannt als Hafnium), bei der Exchange-Server über mehrere Zero-Day-Lücken kompromittiert wurden. Erst Anfang Juli wurde ein 33-jähriger Chinese in Italien verhaftet, dem die Beteiligung an diesen früheren Angriffen zur Last gelegt wird.
Zusammenfassung
- Drei chinesische Hackergruppen für SharePoint-Exploits verantwortlich
- Seit dem 7. Juli 2025 nutzen Linen Typhoon und Violet Typhoon Schwachstellen
- Angreifer umgehen Authentifizierung über manipulierte ToolPane-Anfragen
- Web-Shell 'spinstall0.aspx' ermöglicht Zugriff auf sensible MachineKey-Daten
- Microsoft empfiehlt dringend Sicherheitsupdates für SharePoint-Server
- Vorfall Teil einer Reihe chinesischer Cyberangriffe gegen Microsoft-Produkte
Siehe auch:
- Senf dazu: Microsofts "vorbildlicher" Umgang mit SharePoint-Desaster
- Vorsicht: Kritischer Microsoft SharePoint-Bug wird aktiv ausgenutzt
- Exploit für SharePoint-Schwachstelle bringt Microsoft in Bedrängnis
- Streng geheim: Diskretions-Label in OneDrive und SharePoint integriert
- Teams und SharePoint erhalten mächtige Datei-Wiederherstellung
Thema:
Microsofts Aktienkurs in Euro
Interessante & lustige Microsoft-Videos
-
What's Next? - Netflix zeigt Zukunfts-Dokumentation mit Bill Gates
-
Microsoft PC Manager: Neues Tool für die Systempflege im Anmarsch
-
Bill Gates gesteht Sucht: "Ich kann nicht aufhören, Wordle zu spielen"
-
Bill Gates zu "neuem" Trendsport Pickleball: "Spiele es seit 50 Jahren"
HIGHLIGHT
-
Dokumentation: Ein Leben nach Microsoft
-
Microsoft zeigt Baufortschritte beim Ost-Campus in Puget Sound
-
Windows 95: Keynote-Video ist erstmals in voller Länge zu sehen
-
Windows Startup-Sounds Remix - Nächster Hinweis auf Windows 11
-
Satya Nadella und Phil Spencer sprechen über das Thema 'Gaming'
-
Microsoft zeigt, wie man sich die Büro-Meetings der Zukunft vorstellt
Beliebte Microsoft-Downloads
Weiterführende Links
- Microsoft Corporation
- Satya Nadella-Themenspecial
- Xbox Series X-Themenspecial
- Xbox One-Themenspecial
- Windows 11-Themenspecial
- Windows 10-Themenspecial
- Office-Themenspecial
- Microsoft Research-Themenspecial
- Microsoft HoloLens-Themenspecial
- Microsoft Surface-Themenspecial
- Microsoft-Hardware-Themenspecial
- Künstliche Intelligenz-Themenspecial
Beliebt im Preisvergleich
- Windows & Sonstige:
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- EU-Kommission lässt Initiative zum Schutz älterer Videospiele abblitzen
- Wallpaper Engine: Hintergründe gefährden Steam-Gamer durch Malware
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon