Kritische SharePoint-Sicherheitslücken aktiv ausgenutzt – Updates und Maßnahmen dringend erforderlich
Table of Contents
Microsoft warnt vor aktiven Angriffen auf lokale SharePoint Server-Installationen, bei denen die Schwachstellen CVE-2025-53770 und CVE-2025-53771 ausgenutzt werden. Die Sicherheitslücken ermöglichen Remotecodeausführung ohne Authentifizierung und wurden bereits in freier Wildbahn beobachtet. Die Bedrohung wurde am 20. Juli 2025 in den CISA KEV-Katalog aufgenommen. Der CVSS-Score liegt bei 9.8 (kritisch).
Betroffene Systeme:
- SharePoint Server 2016 (vor Version 16.0.5513.1001)
- SharePoint Server 2019 (vor Version 16.0.10417.20037)
- SharePoint Subscription Edition (vor Version 16.0.18526.20508)
Nicht betroffen: SharePoint Online (Microsoft 365)
Schutzmaßnahmen (laut Microsoft Guidance):
- Installieren Sie umgehend die Juli 2025 Sicherheitsupdates:
- Aktualisieren Sie auf unterstützte SharePoint-Versionen
- Drehen Sie die ASP.NET Machine Keys mithilfe von PowerShell und starten Sie IIS neu
- Aktivieren Sie die Antimalware Scan Interface (AMSI) in SharePoint (falls möglich)
- Nutzen Sie Microsoft Defender for Endpoint für Erkennung und Reaktion
- Trennen Sie ungeschützte Server vom Internet oder schützen Sie diese per VPN oder Gateway
Microsoft Defender erkennt folgende Bedrohungen:
Trojan:Win32/HijackSharePointServer.AExploit:Script/SuspSignoutReq.A- Alerts: Possible exploitation of SharePoint server, Suspicious IIS worker behavior u. a.
🔗 Weitere Informationen zur Sicherheitslücke (CVE-2025-53770)
🔗 Offizielle Microsoft Guidance