Vorsicht: Kritische Zero-Day-Sicherheitslücke in Microsoft SharePoint – Sofortige Maßnahmen nötig (CVE-2025-53770)

Am Abend des 18. Juli 2025 wurde eine aktive und globale Ausnutzung einer neuen Zero-Day-Schwachstelle in Microsoft SharePoint entdeckt. Die Lücke betrifft on-premises SharePoint-Server und erlaubt Remote Code Execution (RCE) – ohne jegliche Authentifizierung.

Am Samstag hat Microsoft bestätigt, dass derzeit eine schwerwiegende Zero-Day-Sicherheitslücke (CVE-2025-53770) in Microsoft SharePoint Server aktiv ausgenutzt wird. Die Schwachstelle ermöglicht es Angreifern, vollständig die Kontrolle über betroffene Systeme zu übernehmen.

Wer SharePoint-Server betreibt, sollte dringend handeln, da Hacker diese Sicherheitslücke aktiv ausnutzen.

Was ist CVE-2025-53770 und wer ist betroffen?

CVE-2025-53770 betrifft on-premises SharePoint-Server (nicht SharePoint Online / Microsoft 365) und erlaubt eine unauthentifizierte Remote Code Execution (RCE) durch fehlerhafte Deserialisierung von untrusted Data. Betroffen sind:

• Microsoft SharePoint Server 2019
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Server Subscription Edition

Die Schwachstelle ist eine Variante der bereits bekannten Lücke CVE-2025-49706, die im Rahmen des Pwn2Own-Wettbewerbs im Mai 2025 öffentlich demonstriert wurde. Seit dem 18. Juli beobachten Sicherheitsforscher aktive Angriffe auf verwundbare Systeme.

Was machen die Angreifer?

Die Angreifer schleusen eine speziell präparierte Datei (spinstall0.aspx) auf die Server ein. Diese extrahiert unbemerkt die MachineKey-Konfiguration, insbesondere ValidationKey und DecryptionKey. Mit diesen Schlüsseln können Angreifer gültige __VIEWSTATE-Payloads erzeugen – ein direkter Weg zur vollständigen Kompromittierung über scheinbar legitime Anfragen.

Welche Schutzmaßnahmen sind jetzt erforderlich?

Wenn Sie betroffen sind:

1. Server sofort vom Netz trennen oder herunterfahren – Firewall alleine reicht nicht.
2. Alle System- und Benutzerzertifikate/Kryptoschlüssel erneuern.
3. Komplette Incident-Response durch Experten veranlassen.
4. Regelmäßige Prüfung auf neue IOCs und Updates von Microsoft.

-> Offizielle Microsoft-Sicherheitsmeldung zu CVE-2025-53770

FÜR CISOs: STRATEGISCHE EINSCHÄTZUNG

CVE-2025-53770 ist kein hypothetisches Risiko, sondern eine aktive und zielgerichtete Angriffskampagne.

Warum dieser Angriff besonders kritisch ist:

• Zero-Day ohne Authentifizierung
• Missbrauch von .NET ViewState-Mechanismen
• Exfiltration kryptographischer Schlüssel
• Persistente Manipulation von SharePoint-Komponenten möglich
• Zugriff auf sensible Daten, sogar nach einem Patch

Fazit: Patching alleine reicht nicht. Nur durch Rotation aller Schlüssel und eine vollständige forensische Analyse kann sichergestellt werden, dass kein Angreifer zurückbleibt.

Empfehlung

Wenn Sie SharePoint-Server in Ihrer IT-Infrastruktur betreiben, handeln Sie bitte umgehend. Die Schwachstelle wird bereits aktiv ausgenutzt, und die Kompromittierung kann sich schnell auf weitere Dienste wie Outlook, Teams oder OneDrive ausweiten.

Setzen Sie sich bei Fragen oder zur Unterstützung bei der Analyse und Absicherung gerne mit uns in Verbindung.

Quellen

• Eye Security Blog (2025): “From SOC Alert Triage to 0-day Mass Exploitation”
• Microsoft Security Advisory: CVE-2025-53770
• Code White GmbH Exploit Demo (Juli 2025)
• Heise: https://www.heise.de/news/Kritische-Sharepoint-Sicherheitsluecke-Erste-Patches-fuer-ToolShell-sind-da-10493989.html
• Golem: https://www.golem.de/news/zero-day-luecke-hacker-attackieren-massenhaft-microsoft-sharepoint-instanzen-2507-198299.html