Comretix Blog

Ende Juni warnte Cisco erstmals vor den kritischen Sicherheitslücken CVE-2025-20281 und CVE-2025-20282 in der Identity Services Engine (ISE) und im ISE Passive Identity Connector (ISE-PIC). Mitte Juli kam mit CVE-2025-20337 eine dritte, verwandte Lücke hinzu.

Alle drei wurden mit dem höchstmöglichen Schweregrad (10.0, kritisch) eingestuft. Angreifer können sie missbrauchen, um aus dem Netz ohne vorhergehende Authentifizierung beliebige Befehle oder Schadcode ins Betriebssystem einzuschleusen und diese(n) dann im Kontext des root-Users auszuführen.

Nun hat das Unternehmen die Sicherheitsmitteilung zu den drei Schwachstellen nochmals aktualisiert: Das interne Product Security Incident Response Team habe aktive Angriffe in freier Wildbahn beobachtet.

Wer die verfügbaren ISE-Patches noch nicht angewendet hat, sollte das jetzt nachholen. Das Release 3.4 Patch 2 ist grundsätzlich nicht bedroht; für die verwundbaren Releases nebst verschiedenen Hotpatch-Konstellationen gibt Ciscos Advisory Update-Empfehlungen zum Absichern.

Seit Veröffentlichung der ersten Fassung der Sicherheitsmitteilung hat das Unternehmen nach eigenen Angaben verbesserte, abgesicherte Releases veröffentlicht. Somit sollten auch Nutzer, die bereits gepatcht haben, noch einmal einen Blick auf die aktualisierten Informationen werfen.

In Großbritannien soll es staatlichen Einrichtungen und Betreibern kritischer Infrastruktur verboten werden, nach einem Angriff mit Ransomware Lösegeld zu bezahlen. Unternehmen, die das nicht betrifft, sollen dazu verpflichtet werden, die Regierung zu informieren, bevor sie eine solche Zahlung tätigen. Das hat die Regierung angekündigt, nachdem der öffentliche Konsultationsprozess für die Maßnahme jetzt abgeschlossen wurde. Laut der Mitteilung haben sich fast drei Viertel der Beteiligten für die Pläne ausgesprochen. Ziel des Plans ist es, das Geschäftsmodell hinter den Ransomware-Attacken ins Visier zu nehmen und öffentliche Einrichtungen zu einem weniger interessanten Ziel zu machen.

Das Verbot der Lösegeldzahlung würde demnach etwa für das staatliche Gesundheitssystem in Großbritannien, Kommunalverwaltungen und Schulen gelten, erklärt die Regierung. Unternehmen, die nicht darunter fallen und die eine Zahlung planen, sollen beraten und eventuell gewarnt werden, wenn sie damit möglicherweise gegen Sanktionen verstoßen würden. Das könnte der Fall sein, wenn das Geld an eine der vielen Ransomware-Gruppen geht, die aus Russland kommen. Zudem bereite man eine Berichtspflicht vor, die es den Strafverfolgungsbehörden erleichtern würde, gegen die Verantwortlichen solcher Schadsoftware vorzugehen.

In der Mitteilung drängt die Regierung die unterschiedlichen Organisationen im Land auch erneut, mehr für die Cybersicherheit zu tun. Dazu gehörten offline vorgehaltene Backups, Pläne für einen längeren Betrieb ohne IT und eine "gut eingeübte Praxis bei der Wiederherstellung von Daten aus Backups". Cyberkriminalität, etwa mit Ransomware, habe Schäden in Milliardenhöhe verursacht und gefährde auch Menschenleben. Erst vor Kurzem wurde öffentlich gemacht, dass ein Cyberangriff erstmals zum Tod eines Menschen beigetragen hat. Der hatte nachweislich zu einer Verzögerung der Patientenversorgung und damit zu dem Todesfall geführt.

Lösegeldzahlungen nach Angriffen mit Ransomware sind 2024 merklich zurückgegangen, hat Anfang des Jahres ein Blockchain-Analysefirma ermittelt. Chainalysis hat dafür Maßnahmen von Strafverfolgungsbehörden, eine bessere internationale Zusammenarbeit und die häufigere Zahlungsverweigerung verantwortlich gemacht. Vor allem letztere möchte London nun weiter vorantreiben. Aber auch die geringe Zuverlässigkeit der Kriminellen hat wohl dazu beigetragen, die Opfer können einfach nicht davon ausgehen, dass sie nach der Zahlung ihre Daten zurückbekommen. Das war das Ergebnis einer Studie vor einem Jahr. In der hieß es damals auch, dass ein Verbot solcher Zahlungen bis dahin keinen merklichen Effekt gehabt hatte.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Microsoft hat drei verschiedene Gruppen aus China ausgemacht, die aktuelle Toolshell-Angriffe auf Sharepoint-Server durchgeführt haben. Zwei dieser Gruppierungen stehen laut Softwarekonzern mit der chinesischen Regierung in Verbindung. Die Angreifer haben demnach die schwere Sicherheitslücke "Toolshell" in selbst gehosteten Versionen von Microsoft Sharepoint ausgenutzt und könnten dabei sensible Daten und Kennwörter erbeutet sowie Zugriff auf angeschlossene Systeme erlangt haben.

Erst vor wenigen Tagen wurde diese zuvor unbekannte Sicherheitslücke in den On-Premise-Versionen von Sharepoint festgestellt, für die zunächst kein Patch verfügbar war. Mittlerweile hat Microsoft die ersten Patches für Toolshell veröffentlicht, doch offenbar wurden schon am Wochenende 100 Organisationen kompromittiert. Nach ersten Ermittlungen der Sicherheitsfirma Check Point waren Dutzende Regierungseinrichtungen sowie Telekommunikations- und Softwarefirmen in Nordamerika und Westeuropa Ziel dieser Attacken.

Zu den ersten Angreifern zählt Microsoft die beiden chinesischen Gruppen "Linen Typhoon" und "Violet Typhoon", die demnach von der Regierung in Peking unterstützt werden und die Schwächen in Sharepoint-Servern mit Internetverbindung ausgenutzt haben. Als weitere Gruppierung aus China nennt Microsoft "Storm-2603", die entsprechende Toolshell-Angriffe durchgeführt haben. Die Untersuchungen dauern allerdings noch an, um weitere Angreifer identifizieren zu können. Microsoft rechnet mit weiteren Attacken auf nicht gepatchte Sharepoint-Systeme, sodass Updates dringlich eingespielt werden sollten.

Allerdings ist Patchen nicht genug nach Angriffen auf Microsoft Sharepoint. Denn gegen aktuelle Toolshell-Attacken könnte das Schließen der Lücken nicht ausreichen, wenn die Angreifer bereits in das System gelangt sind. Es ist deshalb unabdingbar festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte. Microsoft empfiehlt zum Aufspüren den eigenen Defender Antivirus sowie das "Antimalware Scan Interface" (AMSI), aber Anwender sollten zusätzlich die Maschinenschlüssel für ASP.NET der Sharepoint-Server ändern und die "Internet Information Services" (IIS) neu starten.

Die Cybersicherheitsbehörde der USA, die CISA, hat die Sharepoint-Lücke mittlerweile in ihren Katalog bekannter und ausgenutzter Sicherheitslücken aufgenommen. Diese als CVE-2025-53770 geführte Schwachstelle ermöglicht das Ausführen von fremdem Code auf den angegriffenen Systemen. "Diese als 'Toolshell' bezeichnete Angriffsaktivität ermöglicht unauthentifizierten Zugriff auf Systeme und ermöglicht böswilligen Akteuren den vollständigen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen sowie die Ausführung von Code über das Netzwerk", schreibt die CISA.

Die aktuell beobachteten Angriffe auf SharePoint-Server nutzen eine bis 20. Juli 2025 unbekannte Lücke in lokalen Installationen von Microsoft Sharepoint aus (CVE-2025-53770). Da es bis vor Kurzem kein Update gab, mit dem man sich schützen konnte – es handelte sich um eine Zero-Day-Schwachstelle – konnten die Angreifer die verwundbaren Systeme nach Belieben übernehmen und sich dort einnisten. Dieses Problem wird auch durch das Einspielen der Patches nicht beseitigt; Angreifer könnten auch danach Zugriff auf den Sharepoint-Server und weitere Systeme haben.

Wir beschreiben, wie die Angreifer bei ihren bisherigen Angriffen vorgegangen sind, welche Spuren sie dabei hinterlassen haben und wie man die gezielt aufspüren kann, um sich Gewissheit zu verschaffen, ob das eigene Unternehmen betroffen ist. Anschließend geben wir Tipps für die gezielte Suche und Reinigung betroffener Systeme. Wer die Zusammenfassung überspringen möchte, liest direkt bei "Was Betroffene jetzt tun sollten" weiter.

Angreifer nutzen eine Kombination mehrerer Schwachstellen aus, um ohne Authentifizierung beliebigen Code auf SharePoint-Servern auszuführen. Dabei wird über speziell präparierte HTTP-Anfragen eine ASPX-Webshell ins SharePoint-Dateisystem geschrieben, die anschließend für beliebige Befehlsausführung genutzt werden kann. Die bekannteste Kampagne nutzt eine Webshell mit dem Namen spinstall0.aspx. Daneben beschrieb Palo Alto Networks mindestens zwei weitere Exploit-Varianten – darunter Varianten mit leicht abgewandelten Namen, dem Einsatz von sleep() sowie dem Ablegen von Konfigurationsdaten in Dateien wie debug_dev.js.

Die ausgenutzte Schwachstelle betrifft ausschließlich On-Premises-Installationen von SharePoint. Cloud-basierte Varianten wie SharePoint Online (Microsoft 365) sind nicht betroffen. Warum diese nicht anfällig sind, ist derzeit nicht bekannt.

Trotz der öffentlichen Warnungen sind weiterhin hunderte verwundbare SharePoint-Systeme im Internet erreichbar. Listen mit bereits kompromittierten Systemen zirkulieren in einschlägigen Kreisen – samt der zugehörigen Webshells, die öffentlich erreichbar und benutzbar sind. Es ist davon auszugehen, dass diese Systeme eher früher als später ungebetenen Besuch bekommen.

Frische Hotfixes für die Sophos Firewall schließen insgesamt fünf Sicherheitslücken, von denen zwei als "kritisch", zwei mit einem hohen und eine mit mittlerem Schweregrad bewertet wurden. Sie könnten unter bestimmten Bedingungen zur Codeausführung aus der Ferne missbraucht werden – in zwei Fällen ohne vorherige Authentifizierung.

Verwundbar sind die Versionen v21.0 GA (21.0.0) und älter (CVE-2024-13974, CVE-2024-13973) sowie die Versionen v21.5 GA (21.5.0) und älter (CVE-2025-6704, CVE-2025-7624, CVE-2025-7382).

Dass die kritischen Schwachstellen CVE-2025-6704 und CVE-2025-7624 laut Sophos nur 0,05 beziehungsweise 0,73 Prozent aller Geräte betreffen, sollte niemanden davon abhalten, die bereitgestellten Aktualisierungen zügig anzuwenden. In der Standardeinstellung der Firewall ("Allow automatic installation of hotfixes") passiert das Update laut Sophos bei unterstützten Versionen automatisch. Dennoch ist es dringend ratsam, der bereitgestellten Anleitung zum Prüfen der Firewall auf die aktuellen Hotfixes zu folgen.

Zusätzliche Details zur Zuordnung zwischen Firewall-Versionen und erforderlichen Hotfixes sowie zu den Sicherheitslücken nennt das Sophos-Advisory.

Das Team hinter der Open-Source-Schutzsoftware CrowdSec hat aktive Angriffe über zwei Schwachstellen registriert, die hunderte Multifunktionsdrucker-Modelle verschiedener Hersteller betreffen.

CVE-2024-51977 und CVE-2024-51978 sind bereits seit Ende Juni bekannt – heise online hat damals berichtet. Neu ist jedoch, dass tatsächlich Exploit-Versuche stattfinden. Wer die bereits seit einigen Wochen verfügbaren Firmware-Updates sowie die zusätzlich empfohlenen Sicherheitsmaßnahmen noch nicht eingespielt beziehungsweise ergriffen hat, sollte dies spätestens jetzt nachholen.

Zu den potenziell verwundbaren Geräten gehören mindestens 689 verschiedene Multifunktionsdrucker, Scanner und Etikettendrucker von Brother, 46 Druckermodelle von Fujifilm, fünf Drucker von Ricoh, zwei Modelle von Toshiba und sechs Geräte von Konica Minolta.

Das Rapid7-Team hat die derzeit ausgenutzten Schwachstellen entdeckt. Das Team beschreibt sie zusammen mit weiteren, dieselben Geräte betreffenden Lücken in einem Blogeintrag. Zu aktiven Angriffen auf die übrigen Schwachstellen ist nichts bekannt.

CrowdSecs Intrusion Prevention System analysiert Angriffe böswilliger IP-Adressen, um diese später gezielt erkennen und blockieren zu können. In diesem Zusammenhang entdeckte das Team laut Mitteilung eine "breit angelegte Scan-Kampagne" nach Druckern, die im Netzwerk erreichbar und von CVE-2024-51977 als initialem Einfallstor betroffen sind.

Passkeys sind ein in der IT-Security seltener Glücksfall. Sie machen etwas deutlich sicherer, nämlich das Anmelden bei Internetdiensten. Anders als üblich wird dies aber nicht komplizierter, sondern für den Nutzer sogar bequemer. Im Idealfall genügt ein Fingerabdruck oder ein Blick in die Kamera. Und zwar ohne dabei seine biometrischen Daten an irgendwelche Datenkraken auszuliefern. Das ist so etwas wie der Sechser im Lotto. Theoretisch jedenfalls, in der Praxis fällt der Gewinn dann doch kleiner aus.

Der größte Stolperstein auf dem Weg zum Hauptgewinn ist bisher der Vendor-Lock-in: Passkeys leben in den Ökosystemen der großen Anbieter Apple, Google und Microsoft. Innerhalb derer werden sie auch automatisch über Gerätegrenzen hinweg synchronisiert: Mein auf dem iPhone erstellter Passkey für Dienst XYZ funktioniert quasi sofort auch auf meinem MacBook. Ich kann mich dort sofort mit einem Fingerabdruck anmelden (der dabei übrigens nur lokal verwendet wird). Aber wenn ich mich auf meinem Windows-Arbeitsplatz bei XYZ anmelden will, schaue ich in die Röhre. Das ist schlicht nicht vorgesehen.

Doch da zeichnet sich Besserung ab: Apple stellt offiziell Funktionen zum Im- und Export von Passkeys vor, die genau das ermöglichen sollen. Das ist auch kein Alleingang, sondern ist eingebettet in eine Initiative der FIDO-Allianz, die mit dem Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF) die notwendigen Standards dafür schuf. Und Google baut offenbar ebenfalls schon Import-/Export-Funktionen für Passkeys in Android ein. Auch wenn es da noch keine offizielle Timeline gibt – das ist ein gutes Zeichen.

Fehlt also einmal mehr nur noch Microsoft. Die hinkten bei den Passkeys bereits mehrfach hinterher – etwa mit dem Versprechen, diese nur Ende-zu-Ende-verschlüsselt zu synchronisieren, ohne dass eine Kopie bei Microsoft landet. Doch angesichts der Tatsache, dass auch sie die Integration mit Android und iPhones benötigen, rechne ich nicht damit, dass sie sich da querstellen. Oder, Microsoft? Oder?

HPE Aruba Networking hat eine Sicherheitswarnung für seine "Instant On" Access Points veröffentlicht. Das Unternehmen warnt darin vor zwei Schwachstellen, von denen eine als kritisch eingestuft wurde.

Nutzer sollten sicherstellen, dass ihre Access-Point-Software auf dem aktuellen Stand ist: Versionen ab 3.2.1.0 sind abgesichert. Laut HPEs Security Advisory sollte die Aktualisierung in der Standardkonfiguration bereits automatisch erfolgt sein; bei Bedarf ist aber auch ein manuelles Upgrade über die Instant-On-App oder das Web-Portal möglich. HPE Networking Instant On Switches sind von den Schwachstellen nicht betroffen.

HPEs Security Advisory nennt Details zu den Schwachstellen. Demnach basiert CVE-2025-37103 (CVSS-Score 9.8, "critical") auf fest hinterlegten Login-Daten. Ein entfernter Angreifer mit Kenntnis dieser Credentials könnte sich mit Admin-Rechten anmelden und so die Kontrolle übernehmen.

CVE-2025-37102 (7.2, "high") erlaubt das Einschleusen von Befehlen aus der Ferne über die Kommandozeile – allerdings müsste der Angreifer hierfür bereits über erweiterte Zugriffsrechte verfügen.

Für die kritische Sicherheitslücke CVE-2025-53770 mit dem Spitznamen "Toolshell" gibt es nun weitere Patches. Microsoft veröffentlichte eine Aktualisierung für SharePoint Enterprise Server 2016 sowie für die englischen Sprachpacks dieser und der 2019er-Edition. Damit sind alle aktuell unterstützten SharePoint-Versionen geflickt – was bitter nötig war: Groß angelegte Angriffskampagnen laufen bereits seit Tagen.

Das Microsoft Security Response Center (MSRC) pflegt einen ausführlichen Überblicksartikel zur Toolshell-Lücke und kündigte dort am Montag die Sicherheitsaktualisierungen an. Die folgenden Updates sind jetzt über Microsoft Update, den Microsoft Update-Katalog oder das Microsoft Download Center erhältlich.

Der Satz gerinnt beinahe zur Floskel, dennoch: Administratoren von "on-premises", also im Unternehmen betriebenen SharePoint-Servern sollten die Aktualisierungen zügig einspielen. Angriffskampagnen laufen bereits und Berichten zufolge sind über 100 Organisationen kompromittiert.

Doch mit dem Update ist es nicht getan, denn der SharePoint-Server könnte bereits erfolgreich von Angreifern übernommen worden sein. Daher drängt Microsoft auf zusätzliche Maßnahmen:

Eine umfangreiche Liste mit "Indicators of Compromise", also Hinweisen auf einen erfolgreichen Angriff, pflegt das Sicherheitsunternehmen Eye Security in seinem Blogartikel zu der Toolshell-Lücke. So sollten Systemverwalter nicht nur verdächtige Dateinamen, sondern auch bestimmte HTTP-Anfragen (wie etwa POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx)und -User-Agents im Auge behalten. Der Sicherheitsforscher Florian Roth weist zudem darauf hin, dass diese Indikatoren sich bei der nächsten Angriffswelle ändern könnten.

Noch bevor Microsoft die ersten Patches für die schwere Sicherheitslücke "ToolShell" in selbst gehosteten Versionen von Sharepoint veröffentlicht hat, sind die Installationen von etwa 100 Organisationen kompromittiert worden. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf das Sicherheitsunternehmen Eye Security, das die Lücke publik gemacht hat und die Angriffe darauf analysiert. Derweil ergänzt die Washington Post unter Berufung auf Googles Sicherheitsabteilung Mandiant, dass mindestens einer der Akteure, die für die erste Angriffswelle verantwortlich waren, nach China zurückverfolgt worden sei. Die meisten kompromittierten Installationen haben sich einer dieser ersten Analysen zufolge in den USA und Deutschland befunden.

Das Vorhandensein der kritischen Sicherheitslücke in den on-premise-Versionen von Sharepoint wurde am Wochenende von Microsoft publik gemacht. Schon da erklärte der US-Konzern, dass man von Angriffen auf die verwundbaren Server wisse, einen Patch gab es anfangs aber nicht. Microsoft erklärte lediglich, dass man sich mit "Microsoft Defender Antivirus" schützen solle. Später waren für zwei Sharepoint-Versionen die ersten Updates verfügbar gemacht worden, deren Installation alleine reicht aber nicht für eine Absicherung. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht.

Während Microsoft, die Verantwortlichen der Sharepoint-Installationen und die IT-Sicherheitsbranche weiter mit der Absicherung beschäftigt sind, läuft die Suche nach denjenigen, die sich die Lücke zunutze gemacht haben. TechCrunch zitiert einen IT-Sicherheitsexperten, der beobachtet hat, dass sich die ersten Angriffe gegen eine vergleichsweise kleine Zahl von Zielen gerichtet haben. Nach dem Bekanntwerden der Lücke dürften sich längst viel mehr an den Angriffsversuchen beteiligen. Mehrfach war die Rede von etwa 9000 bis 10.000 verwundbaren Sharepoint-Instanzen vor der Verfügbarkeit der Patches. Zu den ersten Opfern gehörte ein großes Energieunternehmen und mehrere Regierungseinrichtungen in Europa, zitiert die Washington Post noch Erkenntnisse von Eye Security.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Wer CrushFTP für den Datentransfer nutzt, sollte die verwendete Version auf Aktualität prüfen. Das Entwicklerteam hat am vergangenen Freitag Angriffe in freier Wildbahn auf ältere Ausgaben entdeckt, die schlimmstenfalls zu einer Übernahme des Admin-Accounts durch Angreifer führen könnten.

Verwundbar sind laut Advisory der CrushFTP-Entwickler vor Anfang Juli erschienene Versionen. Konkret: die Versionen 10 bis exklusive 10.8.5 sowie Versionen ab 11 bis exklusive 11.3.4_23. Abgesichert sind dementsprechend alle Versionen ab 10.8.5 beziehungsweise 11.3.4_23 aufwärts. Bei aktiviertem DMZ-Proxy-Feature sei die Software grundsätzlich nicht verwundbar.

Die angegriffene Schwachstelle mit der ID CVE-2025-54309 hat einen CVSS-v3-Basescore von 9.0 (kritisch). Sie fußt laut knapper Beschreibung auf einem Validierungsfehler und kann via HTTPS missbraucht werden, um Admin-Zugriff zu erlangen. Laut CVSS-Vektorstring ist für einen Angriff weder eine Nutzerinteraktion noch eine vorherige Authentifizierung seitens des Angreifers erforderlich; allerdings wird die Angriffskomplexität als hoch beschrieben.

Wer die schützenden Updates versäumt hat und bereits kompromittiert wurde beziehungsweise dies annimmt, findet im CrushFTP-Advisory Kompromittierungsindikatoren, Handlungsempfehlungen sowie einige präventive Maßnahmen für die Zukunft.

Die sehr knappe Angriffsbeschreibung erinnert übrigens an frühere Angriffe auf CrushFTP Ende letzten sowie im Laufe des aktuellen Jahres. Zuletzt sorgten aktive Angriffe auf CrushFTP im April für Schlagzeilen bei heise Security: Auch damals konnten (bei ausgeschalteter DMZ-Funktion) Authentifizierungsmechanismen umgangen werden.

Seit rund einem Jahrzehnt stellt Microsoft die Azure-basierte Cloud-Infrastruktur des US-Verteidigungsministeriums (Department of Defense, DoD) bereit. Eine Recherche der US-Organisation ProPublica enthüllte nun, dass der Konzern dabei wohl grob fahrlässig mit hochsensiblen Regierungsdaten umging: Die Betreuung der Infrastruktur überließ er auch Technikern aus Nicht-US-Ländern – unter anderem aus China. Kontrolliert wurde deren Arbeit offenbar nur oberflächlich aus der Ferne – von sogenannten "Digital Escorts", US-Bürgern mit entsprechender Sicherheitsfreigabe.

Ob dabei Daten ausspioniert wurden oder Schäden etwa durch eingeschleusten Schadcode entstanden, ist bisher nicht bekannt. Unklar bleibt auch die Dimension der Vorgänge, also etwa die Anzahl der involvierten chinesischen IT-Fachkräfte.

ProPublicas Rechercheergebnisse wurden am vergangenen Freitag zunächst von einem Microsoft-Sprecher indirekt bestätigt: Auf X versicherte Frank X. Shaw, dass der Konzern die Beteiligung chinesischer Entwickler an der Betreuung der DoD-Regierungscloud und "verwandter Services" gestoppt habe. Als Grund für den Stopp nannte er "Bedenken", die bezüglich der Beteiligung ausländischer ITler aufgekommen seien.

Eine weitere Bestätigung in deutlich drastischeren Worten folgte kurz darauf von US-Verteidigungsminister Pete Hegseth auf X. Er sprach von "billiger chinesischer Arbeit" ("cheap chinese labour"), deren Inanspruchnahme "offensichtlich inakzeptabel" sei und die eine potenzielle Schwachstelle in den DoD-Computersystemen darstelle. Ab sofort sei China nicht mehr am Betrieb der DoD-Cloud beteiligt, zudem sei eine Untersuchung eingeleitet worden.

Ganz nebenbei machte Hegseth in seiner kurzen Ansprache die Obama-Regierung mitverantwortlich, da diese den ursprünglichen Cloud-Deal ausgehandelt habe. Microsoft wiederum nannte er nicht namentlich; stattdessen sprach er allgemeiner von "einigen Tech-Firmen". Laut ProPublica ist indes nicht bekannt, ob auch andere für die US-Regierung tätige Cloud-Provider wie Amazon Web Services oder Google Cloud ebenfalls auf Digital Escorts setzen. Auf Anfrage hätten diese sich nicht äußern wollen.

Microsoft gibt keine Garantie, dass EU-Daten nie an die US-Regierung weitergegeben werden: Das sagte Anton Carniaux, Chefjustiziar von Microsoft France, bei einer Anhörung vor dem französischen Senat des Parlaments aus. Konkret ging es um Daten, die Microsoft von der Union des Groupements d'Achats Publics (UGAP) erhält, der zentralen Beschaffungsstelle des öffentlichen Sektors für Schulen, Rathäuser und kommunale Verwaltungen. Auf die Frage, ob der Konzern niemals deren Informationen an die US-Regierung ohne ausdrückliche Zustimmung der französischen Behörden übermitteln würde, antwortete Carniaux, dass er das unter Eid nicht garantieren könne.

Allerdings fügte er hinzu, dass die Situation noch nie eingetreten sei. Carniaux führte aus, dass Microsoft Informationsanfragen der USA nur dann ablehnen könne, wenn sie formal unbegründet sind. Entsprechend würde Microsoft die Gültigkeit aller Anfragen sehr genau überprüfen – die US-Regierung könne keine Anfragen stellen, die nicht genau definiert sind. Doch bei korrekten Anfragen müsse Microsoft auf jeden Fall seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.

Die schwere Sharepoint-Sicherheitslücke "ToolShell" hält Microsoft-Admins und Sicherheitsexperten weiter in Atem. Der Softwarekonzern hat nun erste Patches für die on-premise-Versionen seines Kollaborationswerkzeugs bereitgestellt. Doch Administratoren müssen weitere Maßnahmen ergreifen, um mögliche Hintertüren zu beseitigen.

Für die beiden betroffenen Major-Versionen Sharepoint Enterprise Server 2016 und Sharepoint Server 2019 hat Microsoft jetzt Updates bereitgestellt. Die fehlerbereinigte Version Sharepoint Enterprise Server 2016 16.0.5508.1000 und Sharepoint Server 2019 16.0.10417.20027 stehen auf den Hilfeseiten des Konzerns bereit. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell finden sich entsprechende Powershell-Commandlets. Microsofts Cloudangebote sind nicht betroffen, lediglich "On-Premise"-Installationen sind gefährdet. Deren Admins sollten unverzüglich handeln.

Auch die US-Cybersicherheitsbehörde CISA warnt mittlerweile in ihrer "Known Exploited Vulnerabilities Database" vor der Sicherheitslücke und hat einen eigenen Überblicksartikel verfasst, der im Wesentlichen auf Microsofts Hinweisen beruht. Anweisungen der CISA sind für US-Behörden bindend. Das Sicherheitsunternehmen Eye Security hält in seinem Blog eine ausführliche Analyse nebst Zeitstrahl vor – demnach begann die Ausnutzung der Lücke in der Nacht vom 18. auf den 19. Juli und Dutzende Systeme sind "geownt".

Bei der Sicherheitslücke mit der CVE-ID CVE-2025-53770 handelt es sich um eine Variante der auf der Pwn2Own Berlin genutzten Lücken CVE-2025-49706 & CVE-2025-49704. Sie erlaubt mit einer HTTP-Anfrage aus der Ferne die Übernahme des Sharepoint-Servers. Wie die deutsche "Code White GmbH" auf X demonstriert, reicht es aus, an der richtigen Stelle ein Systemkommando einzuschleusen. So konnten die bislang unbekannten Angreifer die Systeme übernehmen und die "Machine Keys" abziehen. Mit diesen ist es möglich, sich dauerhaften Zugriff auf den Sharepoint-Server zu sichern.

Auf Social Media und anderen Kanälen warnt Microsofts Sicherheitsteam vor einer neuen Lücke in Sharepoint On-Prem. Man wisse bereits von Kunden-Servern, die darüber attackiert wurden. Patch gibt es noch keinen; dafür erklärt Microsoft, man könne und solle sich mit "Microsoft Defender Antivirus" schützen.

Bei der aktuellen Sicherheitslücke mit dem Bezeichner CVE-2025-53770 handelt es sich offenbar um eine Variante des Problems CVE-2025-49706, das Microsoft erst am 8. Juli mit einem Security-Update adressierte. Es beruht auf einer fehlerhaften Deserialisierung von Daten. Ersten Gerüchten auf X zufolge können Angreifer darüber den sogenannten MachineKey des Servers stehlen und sich damit das Ausführen von Code auf dem Server ermöglichen. Damit wäre die Lücke in der obersten Kategorie anzusiedeln; die europäische ENISA bewertet den zugehörigen EUVD-2025-21981 mit dem CVSS-Rating 9,8 (kritisch).

Microsoft empfiehlt in Kundenhinweisen zur SharePoint-Schwachstelle CVE-2025-53770, zum Schutz das neue Antimalware Scan-Interface AMSI zu aktivieren und dann den hauseigenen Virenjäger Defender AV auf allen Servern zu installieren. Das ist eine überaus unbefriedigende Situation, da nicht einmal klar ist, ob und wie das bereits installierte Security-Software beeinflusst. Doch andere Schutzmaßnahmen nennt Microsoft nicht; uns sind bisher auch keine alternativen Mitigations bekannt. Wenn sich da etwas Neues ergibt, werden wir das hier nachtragen.

Betroffen sind offenbar ausschließlich On-Prem-Installationen von Microsoft Sharepoint; SharePoint Online in Microsoft 365 ist laut Microsoft nicht anfällig. Weitere Erklärungen, wie das kommt, gibt Microsoft nicht. Details zu den bisherigen Angriffen über diese Lücke nennt Microsoft ebenfalls nicht, gibt jedoch rudimentäre Tipps, wie man infizierte Server identifizieren kann. Offenbar kam bei den Angriffen eine Datei namens "spinstall0.aspx" zum Einsatz.

Die Situation um diese Sicherheitslücke dürfte sich in den nächsten Stunden und Tagen ständig weiterentwickeln. Wir werden diese Entwicklung beobachten und weiter berichten. Mitglieder von heise security PRO können ihre Erfahrungen mit Mitigations auch hier im PRO-Forum diskutieren.

Ganz schlecht, wenn der Computer plötzlich nicht mehr funktioniert wie gewohnt und der CEO anstelle von Katzenvideos eine Lösegeldforderung sieht: Cybercrime nimmt zu. Die Szene differenziert sich aus. Die Behörden reagieren: Manche Landeskriminalämter werden zu Anlaufstellen, fast wie Verbraucherzentralen. Dabei sind die Rahmenbedingungen bei Polizeibehörden oft vor-digital, also ist Hilfe zur Selbsthilfe auch im eigenen Interesse der Polizeien.

Aber wie sieht es aus mit politisch motivierten Angriffen? Immer mehr Cyberkriminelle agieren vom Ausland aus und vielen geht es nicht mehr nur um Geld, sondern auch um Politik – vor allem pro-Russland, pro-China und anti-Israel. Und nun hätte das BKA gern mehr Kompetenzen gegen Wirtschafts- und Polit-Cyberkriminelle.

Laut BKA ist der wirtschaftliche Schaden durch Cyberdelikte von 148,2 Milliarden Euro im Jahr 2023 auf 178,6 Milliarden Euro gestiegen. Dazu komme ein Dunkelfeld von rund 90 Prozent – diese Zahl basiert auf einer Befragung des Kriminologischen Forschungsinstituts Niedersachsen von 2020. Groß geändert hat sich seitdem wahrscheinlich nichts, aber die "Sensibilität der Firmen, diese Angriffe auch polizeilich zu melden, ist in den letzten Jahren bewusster geworden", so etwa das LKA Sachsen-Anhalt.

Schon vor mehreren Jahren wurden bei den Polizeien des Bundes und der Länder "Zentrale Ansprechstellen Cybercrime" (ZAC) eingerichtet, die miteinander vernetzt sind. Unternehmen und Institutionen bekommen dort Informationen zum Selbstschutz und können sich natürlich auch bei entsprechenden Straftaten melden. Auf polizei.de findet man eine Tabelle mit den ZAC-Stellen samt Telefonnummern und E-Mail-Adressen bzw. dem Link zu einer eigenen Website. Das ist – vorausgesetzt, dass es funktioniert – sehr "kunden"freundlich.

Die Polizeien bauen dies Angebot unterschiedlich aus. Mitarbeiter der ZAC Baden-Württemberg etwa "haben hierzu auch die Möglichkeit, unsere Task Force Digitale Spuren aufzurufen. In dieser sind Experten aus allen Spezialisierungsbereichen der Abteilung Cybercrime und Digitale Spuren vertreten", erklärt das LKA.

Die Cyberattacke auf einen Server für Polizei-Diensthandys wird im Landtag von Mecklenburg-Vorpommern weiterhin lebhaft diskutiert. Die Oppositionsparteien CDU und AfD erneuerten in Schwerin ihre Forderungen nach konsequenter Aufklärung der Hintergründe. Damit die IT der Polizei künftig besser geschützt ist, fordern sie technische Konsequenzen. Allerdings fanden weder der Maßnahmenkatalog der CDU noch die Forderung der AfD nach Einsetzung eines Sonderermittlers eine Mehrheit im Parlament.

Innenminister Christian Pegel (SPD) räumte erneut ein, dass Defizite im internen Meldesystem den Erfolg des Hackerangriffs begünstigt hatten. Warnhinweise zu Lücken in der Betreibersoftware des Servers für die Polizei-Handys seien mit deutlicher Verzögerung bei den zuständigen Stellen im Land angekommen. Gegenmaßnahmen seien so zu spät erfolgt. „Wir werden, und das ist unstreitig, in der Landespolizei künftig durch weitergehende organisatorische Absicherungen sicherstellen müssen, dass solche Warnmeldungen die zuständigen Beteiligten sicher erreichen“, sagte Pegel.

Nach seinen Angaben arbeitet eine Task Force aus Computerspezialisten des Landeskriminalamtes (LKA) weiterhin daran, Wege, Umfang und Auswirkungen des vermutlich von China aus erfolgten Hackerangriffs zu ermitteln. Der infiltrierte Server werde ersetzt, da nicht ausgeschlossen werden könne, dass dort dauerhaft Schadsoftware installiert wurde, die einen illegalen Datenabfluss ermöglicht.

Unklar sei auch noch, ob tatsächlich Daten abgegriffen wurden, sagte Pegel. Immerhin sei sicher, dass keine sensiblen Ermittlungsakten nach außen gelangten, da diese auf besonders gesicherten, separaten Servern lägen. Zurzeit werde weiter untersucht, welche Auswirkungen der Hackerangriff auf die Polizei-Handys hatte, die aktuell nicht verwendet werden. Falls die rund 4000 Smartphones aus Sicherheitsgründen ersetzt werden müssen, ginge der Schaden in die Millionen. Für den neuen Server ist laut Pegel ein „niedriger sechsstelliger Betrag“ erforderlich.

Die CDU-Abgeordnete Ann Christin von Allwörden warf der Landesregierung vor, unzureichend auf Hinweise zu „Defiziten in der IT-Sicherheitsarchitektur“ reagiert zu haben. Schwachstellen seien offenkundig nicht beseitigt worden. Allwörden forderte, die IT-Sicherheitsorgane im Land sowohl personell als auch technisch angemessen auszustatten. Zudem müsse das Frühwarnsystem zur Erkennung und Abwehr von Cyberangriffen verbessert werden.

Am Samstag jährt sich das Crowdstrike-Debakel. Ein guter Anlass, zurückzublicken. Was war passiert? Am 19. Juli 2024 rollte Crowdstrike ein fehlerhaftes Update auf alle Endpoint-Security-Agenten mit Crowdstrikes EDR-System Falcon aus, das Millionen von Windows-Rechnern zum Absturz brachte. Erschwerend kam hinzu, dass die Systeme dabei so nachhaltig beschädigt wurden, dass ein manueller Eingriff vor Ort erforderlich war, um sie wieder benutzbar zu machen.

Das hieß, dass manche Admins tatsächlich zu tausenden Windows-Rechnern gehen mussten, was sich teils über Tage hinzog. Die damit verursachten Schäden belaufen sich auch nach konservativen Schätzungen auf viele Milliarden US-Dollar.

Die zentrale Ursache war Crowdstrikes miserable Qualitätssicherung beim Verteilen von derart kritischen Updates an Millionen von Systemen. Crowdstrike hat dieses Update vorab praktisch nicht getestet und es auf einen Schlag an alle Systeme verteilt. Üblich ist es, das gestaffelt in mehreren Phasen zu machen. Und schließlich haben sie auf die quasi sofort auftretenden Abstürze erst viel zu spät und unzureichend reagiert.

Hinzu kam die System-Architektur bei Windows, die es erlaubte, dass ein solches Channel-Update eine Speicherverletzung im Kernel verursachte. Denn beträchtliche Teile der Sicherheits-Software liefen direkt als Teil des Betriebssystemkerns, was bei Fehlern nicht nur ein Programm, sondern das komplette System zum Absturz bringt. Das hätte man technisch besser lösen können – übrigens auch unter Windows.

Apropos: Mit Windows traf das Problem ein Betriebssystem, das selbst nicht resilient genug konzipiert war. Der Linux-Kernel etwa bietet mit eBPF (extended Berkeley Packet Filter) eine Schnittstelle an, über die Sicherheits-Software auf Kernel-Ressourcen zugreifen kann, ohne selbst im Kernel-Modus zu agieren. Ziel ist es, möglicherweise weniger zuverlässigen Code aus dem Kern des Systems herauszuhalten. Unter Windows hingegen fehlten sowohl Unterstützung als auch Regeln für den Zugriff auf den Kern. Deshalb operieren alle Hersteller – einschließlich Crowdstrike – mit eigenen Treibern selbst im Windows-Kern herum. Und beim Laden dieses Crowdstrike-Treibers stürzte Windows ab.

Die Sicherheitslücke mit dem Spitznamen "Citrix Bleed 2" ist Angreifern offenbar schon länger bekannt als zunächst angenommen. Das hat ein Anbieter von Lösungen zur Angriffserkennung herausgefunden. Mittels historischer Daten, die sie mit den Signaturen des Exploits verglichen, fanden sie am 23. Juni 2025 einen Angriffsversuch auf einen ihrer Honeypots, also einen nur zum Schein verwundbaren Server.

Das ist fast genau eine Woche nach den durch Citrix veröffentlichten Patches für CVE-2025-6543 und CVE-2025-5777, den später von Sicherheitsforscher als "Citrix Bleed 2" getauften kritischen Fehler. Das Sicherheitsunternehmen ReliaQuest hatte ebenfalls bereits Ende Juni gemutmaßt, es gebe einen aktiv ausgenutzten Exploit, fand jedoch nur Indizien und keine harten Beweise.

Diese Beweise sind nun da, schreibt Greynoise. Und offenbar handelt es sich nicht um ungerichtete Scans, sondern um gezielte Angriffsversuche, die einen als veralteter Netscaler verkleideten Honeypot angingen. Diese frühen Angriffsversuche kamen von IP-Adressen aus China, berichtet Greynoise.

Auch der Sicherheitsforscher Kevin Beaumont wies bereits vor einigen Tagen auf die frühen Versuche hin, die Lücke auszunutzen. Citrix hatte zu diesem Zeitpunkt noch abgestritten, dass "Citrix Bleed 2" im Arsenal von Cyberkriminellen oder staatlichen Hackern gelandet sei. Spätestens am 10. Juli war es mit den Dementis hingegen vorbei: Da nahm die US-Cybersicherheitsbehörde CISA die Lücke in ihren "Known Exploited Vulnerabilities Catalog" auf. Einen Tag später berichtete Imperva, ein weiteres Unternehmen aus dem Bereich der "Threat Intelligence", von über 11,5 Millionen Angriffsversuchen, überwiegend auf Ziele in den USA, Spanien und Japan.

Mittlerweile ist das Angriffsvolumen stabil. Das Shadowserver-Projekt verzeichnete am zwischen dem 14. und 16. Juli täglich etwa 3000 Angriffsversuche auf dreißig bis vierzig Ziele, Greynoise hat im Tagesverlauf des 17. Juli lediglich drei Angreifer-IPs verzeichnet. Die Anzahl verwundbarer Geräte machte jedoch Mitte Juli einen überraschend großen Sprung und steht den Shadowserver-Statistiken zufolge nun bei über 4.500. Admins von Netscaler-Installationen sollten also tunlichst ihre Geräte überprüfen und schnellstmöglich aktualisieren.

Die Kryptowährungsbörse BigONE hat einen Cyberangriff auf die bei ihr verwalteten digitalen Einlagen zugegeben, bei dem Bitcoin, Ethereum und andere Token im Wert von insgesamt 27 Millionen US-Dollar gestohlen wurden. Immerhin versichern die Betreiber, dass keine privaten Schlüssel und Nutzerdaten betroffen sind. Zudem übernimmt die Kryptobörse die Verantwortung und ersetzt den betroffenen Kunden die Verluste.

Laut Marktforschern haben die Kryptodiebstähle dieses Jahres die entsprechenden Verluste des gesamten Vorjahres bereits übertroffen. Das liegt zum Großteil am größten Krypto-Coup aller Zeiten, bei dem Bybit 1,5 Milliarden Dollar verloren hat. Nach ersten Untersuchungsdetails zum Fall Bybit konnten Cyberkriminelle diesen hohen Wert an Kryptowährungen stehlen, weil es ihnen gelang, das vom betroffenen Unternehmen genutzte Wallet des Anbieters "Safe{Wallet}" zu manipulieren. Das FBI macht die mit dem nordkoreanischen Staat in Verbindung stehende Gruppe "TraderTraitor" verantwortlich.

Jetzt haben die Marktforscher von Chainalysis die Kryptodiebstähle dieses Jahres aufsummiert und kommen in ihrem Halbjahres-Update dabei auf über 2,17 Milliarden Dollar, die 2025 von Kryptodiensten gestohlen wurden. Das ist bereits mehr als im gesamten Vorjahr 2024, als es weniger als 2 Milliarden Dollar waren. Derzeit gehen die Marktforscher davon aus, dass die 2025 insgesamt gestohlenen Kryptowährungen einen Wert von 4 Milliarden Dollar übersteigen werden, sollte sich der aktuelle Trend fortsetzen.

Der Angriff auf BigONE ist dagegen relativ klein und im Bericht der Marktforscher noch nicht einmal berücksichtigt, denn er geschah erst diese Woche. Am Mittwoch setzte die Kryptobörse zunächst das Einzahlen und den Handel aus, weil ungewöhnliche Aktivitäten bei einem Teil der auf der Plattform hinterlegten Anlagen entdeckt wurden. Bei der Untersuchung der Vorfälle arbeitet BigONE mit der IT-Sicherheitsfirma SlowMist zusammen, die auch schon im Bybit-Fall beraten hatte.

Im Bericht zu den Sicherheitsvorfällen erklärt BigONE, dass "der Angriff identifiziert und eingedämmt wurde, sodass keine weiteren Verluste entstehen". Nach den gemeinsam mit SlowMist durchgeführten Untersuchungen "handelte es sich um das Ergebnis eines Angriffs Dritter, der auf unsere Hot Wallet abzielte". Nach Angaben von SlowMist handelt es sich um einen Lieferkettenangriff. BigONE verspricht, die "volle Haftung für alle Verluste zu übernehmen, die durch diesen Vorfall entstehen". Die Einlagen der Kunden sollen nicht wesentlich beeinträchtigt werden.