Microsoft warnt vor aktiven Angriffen auf lokale SharePoint Server-Installationen, bei denen die Schwachstellen CVE-2025-53770 und CVE-2025-53771 ausgenutzt werden. Die Sicherheitslücken ermöglichen Remotecodeausführung ohne Authentifizierung und wurden bereits in freier Wildbahn beobachtet. Die Bedrohung wurde am 20. Juli 2025 in den CISA KEV-Katalog aufgenommen. Der CVSS-Score liegt bei 9.8 (kritisch).
Betroffene Systeme:
- SharePoint Server 2016 (vor Version 16.0.5513.1001)
- SharePoint Server 2019 (vor Version 16.0.10417.20037)
- SharePoint Subscription Edition (vor Version 16.0.18526.20508)
Nicht betroffen: SharePoint Online (Microsoft 365)
Schutzmaßnahmen (laut Microsoft Guidance):
- Installieren Sie umgehend die Juli 2025 Sicherheitsupdates:
- Aktualisieren Sie auf unterstützte SharePoint-Versionen
- Drehen Sie die ASP.NET Machine Keys mithilfe von PowerShell und starten Sie IIS neu
- Aktivieren Sie die Antimalware Scan Interface (AMSI) in SharePoint (falls möglich)
- Nutzen Sie Microsoft Defender for Endpoint für Erkennung und Reaktion
- Trennen Sie ungeschützte Server vom Internet oder schützen Sie diese per VPN oder Gateway
Microsoft Defender erkennt folgende Bedrohungen:
Trojan:Win32/HijackSharePointServer.AExploit:Script/SuspSignoutReq.A- Alerts: Possible exploitation of SharePoint server, Suspicious IIS worker behavior u. a.
🔗 Weitere Informationen zur Sicherheitslücke (CVE-2025-53770)
🔗 Offizielle Microsoft Guidance
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: