Kritische SharePoint-Sicherheitslücken aktiv ausgenutzt – Updates und Maßnahmen dringend erforderlich

Table of Contents

Microsoft warnt vor aktiven Angriffen auf lokale SharePoint Server-Installationen, bei denen die Schwachstellen CVE-2025-53770 und CVE-2025-53771 ausgenutzt werden. Die Sicherheitslücken ermöglichen Remotecodeausführung ohne Authentifizierung und wurden bereits in freier Wildbahn beobachtet. Die Bedrohung wurde am 20. Juli 2025 in den CISA KEV-Katalog aufgenommen. Der CVSS-Score liegt bei 9.8 (kritisch).

Betroffene Systeme:

  • SharePoint Server 2016 (vor Version 16.0.5513.1001)
  • SharePoint Server 2019 (vor Version 16.0.10417.20037)
  • SharePoint Subscription Edition (vor Version 16.0.18526.20508)
    Nicht betroffen: SharePoint Online (Microsoft 365)

Schutzmaßnahmen (laut Microsoft Guidance):

  • Installieren Sie umgehend die Juli 2025 Sicherheitsupdates:
  • Aktualisieren Sie auf unterstützte SharePoint-Versionen
  • Drehen Sie die ASP.NET Machine Keys mithilfe von PowerShell und starten Sie IIS neu
  • Aktivieren Sie die Antimalware Scan Interface (AMSI) in SharePoint (falls möglich)
  • Nutzen Sie Microsoft Defender for Endpoint für Erkennung und Reaktion
  • Trennen Sie ungeschützte Server vom Internet oder schützen Sie diese per VPN oder Gateway

Microsoft Defender erkennt folgende Bedrohungen:

  • Trojan:Win32/HijackSharePointServer.A
  • Exploit:Script/SuspSignoutReq.A
  • Alerts: Possible exploitation of SharePoint server, Suspicious IIS worker behavior u. a.

🔗 Weitere Informationen zur Sicherheitslücke (CVE-2025-53770)
🔗 Offizielle Microsoft Guidance

Related Posts

Windows: Remote Code Execution durch SPNEGO/NEGOEX-Schwachstelle (CVE-2025-47981)

Das Microsoft Security Response Center (MSRC) hat eine kritische Sicherheitslücke in mehreren Windows-Versionen veröffentlicht. Die Schwachstelle mit der Kennung CVE-2025-47981 betrifft den SPNEGO Extended Negotiation (NEGOEX) Sicherheitsmechanismus und ermöglicht potenziell eine Remote Code Execution (RCE) ohne Benutzerinteraktion.

Read More

Exploit für kritische FortiWeb-Lücke veröffentlicht

Fortinet hat am Donnerstag ein wichtiges Sicherheitsupdate für seine FortiWeb-Produkte veröffentlicht. Grund ist eine kritische SQL-Injection-Lücke (CVE-2025-25257, CVSS 9.6), die es Angreifern erlaubt, aus dem Internet heraus beliebigen Code auszuführen – und zwar ohne vorherige Authentifizierung. Erste Proof-of-Concept-Exploits sind bereits im Umlauf.

Read More

Schwachstelle in Trend Micro Cleaner One Pro ermöglicht Rechteausweitung

Eine neu entdeckte Sicherheitslücke mit der Kennung EUVD-2025-21043 (auch bekannt als CVE-2025-53503) betrifft die Software Trend Micro Cleaner One Pro in Versionen vor 6.8.323.

Read More