Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: Aktiv ausgenutzte Zero-Day-Schwachstellen in Microsoft SharePoint

- Warnmeldung

Die CSBW warnt vor aktiv ausgenutzten Sicherheitslücken in bestimmten Versionen von Microsoft SharePoint Server (on-premises). Microsoft stellt Notfall-Patches und Mitigationsmaßnahmen zur Verfügung.
Teil eines Gebäudes mit Microsoft-Schriftzug und Microsoft-Logo

© Adobe Stock

Die Warnmeldung wurde am 24. Juli 2025 aufgrund weiterführender Informationen aktualisiert. 

Sicherheitslücken für RCE-Attacken ausgenutzt

Das Unternehmen Microsoft veröffentlichte am 20. Juli 2025 Sicherheitsmeldungen für bestimmte Versionen von Microsoft SharePoint Server (on-premises) zu folgenden Zero-Day-Schwachstellen:

  • CVE-2025-53770 bzw. EUVD-2025-21981 mit einem CVSS-Score 9.8/10
  • CVE-2025-53771 bzw. EUVD-2025-22040 mit einem CVSS-Score 6.3/10

Angreifende verwenden die Sicherheitslücken seit dem 18. Juli 2025 aktiv für Remote-Code-Execution-Angriffe (RCE). Diese Attacken führten bislang zu mindestens 85 kompromittierten Servern weltweit.

Für die RCE-Angriffe nutzen Kriminelle eine ToolShell-Attackenkette. Dabei schleusen sie über die Sicherheitslücken die maliziöse Datei spinstall0.aspx ein, um später Schadcode auf den Systemen auszuführen.

Von den Schwachstellen betroffen sind die folgenden Versionen von Microsoft SharePoint Server (on-premises):

  • 2016
  • 2019
  • Subscription Edition

Microsoft SharePoint Server Online bzw. Microsoft 365 ist nicht betroffen.

Microsoft veröffentlichte bereits Notfall-Patches für die betroffenen Produkte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 21. Juli 2025 einen BSI-IT-Sicherheitshinweis zu den Sicherheitslücken mit detaillierten Informationen und Mitigationsmaßnahmen. Den Sicherheitshinweis finden Sie unten verlinkt.

Nach Erkenntnissen des Landesamts für Verfassungsschutz BW (LfV) werden die Angriffe chinesischen APT-Gruppen zugeordnet. Aufgrund der Vorgehensweise, der Angreiferinfrastruktur und der verwendeten Tools sei anzunehmen, dass staatliche Interessen hinter der Kampagne stehen.

Empfehlungen von Microsoft

  • Installieren Sie umgehend die verfügbaren Notfall-Patches.
  • Aktivieren Sie die MachineKey Rotation.
  • Aktivieren Sie das Windows Antimalware Scan Interface (AMSI) und den Windows Defender.
  • Suchen Sie nach Kompromittierungsindikatoren (Indicators of Compromise: IoCs) wie der Datei spinstall0.aspx im Pfad ...\WEB…\LAYOUTS\ und POST-Anfragen auf /layouts/15/ToolPane.aspx mit Referrer nach /SignOut.aspx.
  • Trennen Sie betroffene Server sofort vom Netzwerk.
  • Überwachen Sie Logs und Netzwerkaktivitäten aktiv und engmaschig.

Weitere Informationen