Laut ESET war Deutschland das erste Land, in dem die Sicherheitsexperten einen gezielten Angriff auf Microsoft-SharePoint-Server mit einer bis dahin unbekannten Schwachstelle registrierte. Der Angriff am 17. Juli 2025 gilt als Ausgangspunkt einer international eskalierenden Kampagne, bei der Cyberkriminelle – darunter auch staatlich unterstützte Hackergruppen aus China – auf bislang ungepatchte Systeme zugreifen. Die Angriffskette nutzt mehrere Zero-Day-Lücken in Microsofts SharePoint-Software aus, um sich tief in Unternehmensnetzwerke einzuschleusen.
Lokal betriebene SharePoint-Server
Die ToolShell-Kampagne nutzt mehrere miteinander verknüpfte Sicherheitslücken, darunter:
* CVE-2025-53770 (Remote Code Execution)
* CVE-2025-53771 (Server-Spoofing)
* sowie zwei zuvor gepatchte Lücken: CVE-2025-49704 und CVE-2025-49706
Ziel der Angreifer sind vor allem lokal betriebene SharePoint-Server (Versionen 2016, 2019 und Subscription Edition). Die Cloud-Variante SharePoint Online ist laut Microsoft nicht betroffen.
Einmal kompromittiert, schleusen die Angreifer sogenannte Webshells ein – darunter die Skripte spinstall0.aspx oder die ghostfile-Reihe – mit denen sich beliebige Befehle auf dem Server ausführen lassen. Die Angriffe können außerdem die Zwei-Faktor-Authentifizierung und das Single Sign-on umgehen. Über Microsoft 365-Dienste wie Outlook, OneDrive oder Teams können sich die Angreifer dann lateral im Netzwerk ausbreiten.
Empfohlene Maßnahmen
* Nur noch unterstützte SharePoint-Versionen verwenden
* Alle Sicherheitsupdates umgehend einspielen
* Antivirenlösung mit aktiver AMSI-Integration verwenden
* ASP.NET-Maschinenschlüssel regelmäßig rotieren, um Zugriffsverlängerung zu verhindern
* EDR-Lösungen einsetzen, um verdächtige Prozesse frühzeitig zu erkennen
* Mitarbeitende regelmäßig zu Phishing und Social Engineering sensibilisieren