Microsoft hat erste Sicherheitsupdates für eine gefährliche Sharepoint-Sicherheitslücke für die beiden Sharepoint Server 2016 und 2019 veröffentlicht. Die Lücke trägt den Namen „ToolShell“ und hat die Schwachstellenkennung CVE-2025-53770. CVE steht für Common Vulnerabilities and Exposures, ein internationales System zur Kennzeichnung von Sicherheitslücken.
Was ist betroffen?
Es geht um die lokal installierten („On-Premise“) Versionen von Sharepoint. Sharepoint ist ein System von Microsoft, mit dem Unternehmen Daten, Dokumente und Teamseiten verwalten. Die Cloud-Versionen (also online über das Internet laufende Dienste) sind nicht betroffen.
Was können Angreifer tun?
Durch die Sicherheitslücke können Angreifer über das Internet mit einer einfachen HTTP-Anfrage (das ist eine normale Anfrage wie beim Aufruf einer Webseite) Schadcode einschleusen. Dadurch könnten sie vollständig die Kontrolle über den Server übernehmen – etwa Daten auslesen oder das System dauerhaft manipulieren.
Die Angreifer können außerdem sogenannte „Machine Keys“ (spezielle Schlüssel für die Verschlüsselung im System) stehlen und sich so dauerhaft Zugang zum Server sichern. Besonders kritisch: Bereits mehrere Dutzend Server wurden laut Sicherheitsexperten angegriffen und kompromittiert („geownt“ – IT-Slang für „übernommen“).
Was müssen Administratoren tun?
Microsoft hat Sicherheitsupdates („Patches“) bereitgestellt, die die Schwachstelle schließen. Diese betreffen die folgenden Versionen:
- Sharepoint Server 2016: Version 16.0.5508.1000
- Sharepoint Server 2019: Version 16.0.10417.20027
Zusätzlich müssen Administratoren sogenannte „ASP.Net Machine Keys rotieren“ – also neue Schlüssel erzeugen und damit alte, eventuell gestohlene, ungültig machen. Dafür wird ein Neustart des Webservers (IIS = Internet Information Services) benötigt. Microsoft stellt dafür PowerShell-Commandlets (kleine Automatisierungsskripte) bereit.
Weitere Warnungen:
Auch die US-Behörde für Cybersicherheit (CISA) warnt vor der Lücke und hat sie in ihre Liste der aktiv ausgenutzten Schwachstellen aufgenommen. Eine detaillierte technische Analyse gibt es beim Sicherheitsunternehmen Eye Security. Laut deren Angaben begannen die Angriffe bereits in der Nacht vom 18. auf den 19. Juli.
Die Lücke basiert auf bereits bekannten Schwachstellen aus dem Hacker-Wettbewerb „Pwn2Own“in Berlin, bei dem Forscher zeigen, wie leicht Systeme geknackt werden können.
Wichtige Links für IT-Verantwortliche:
Begriffserklärungen auf einen Blick
Quelle: Microsoft, Beitrag erstellt unter Mitarbeit von Bruce
Foto: Bruce
