ToolShell-Attacken: Neue Sicherheitslücken in SharePoint
Nach weltweiten Angriffen auf Microsofts SharePoint-Server durch eine Zero-Day-Schwachstelle namens "ToolShell" hat der Konzern nun kurzfristig Sicherheitsupdates bereitgestellt. Die Attacken, die bereits über 50 Organisationen betrafen, zeigen: Die bisherigen Patches reichten nicht aus, nun hat Microsoft nachgelegt.
Microsoft hat außerplanmäßige Sicherheitsupdates für zwei neu entdeckte Zero-Day-Lücken in SharePoint veröffentlicht. Die Schwachstellen mit den Kennungen CVE-2025-53770 und CVE-2025-53771 wurden aktiv in sogenannten ToolShell-Angriffen ausgenutzt, die auf bereits gepatchte Systeme zielten. Besonders brisant: Die Angriffe begannen nach dem Pwn2Own-Wettbewerb in Berlin, bei dem Forscher erstmals eine Kette ungepatchter Schwachstellen demonstrierten.
Zwei Notfall-Updates
Die nun veröffentlichten Updates betreffen SharePoint Server 2019 (KB5002754) und die SharePoint Subscription Edition (KB5002768). Für SharePoint 2016 ist noch kein Patch verfügbar, Microsoft arbeitet aber an einer Lösung. Laut eigenen Angaben enthalten die neuen Updates deutlich robustere Schutzmechanismen als die bisherigen Patches aus dem Juli. Administratoren sollten die Sicherheitsupdates umgehend einspielen, um weitere Kompromittierungen zu verhindern.
Im Anschluss an die Aktualisierung empfiehlt Microsoft, die sogenannten Machine Keys auf den SharePoint-Servern zu rotieren – entweder per PowerShell-Befehl Update-SPMachineKey oder über das Central-Admin-Portal. Zudem sollten Log-Dateien und Dateisysteme auf verdächtige Aktivitäten überprüft werden, insbesondere auf die Datei spinstall0.aspx sowie unübliche POST-Anfragen in den IIS-Logs. Bei Auffälligkeiten wird eine umfassende forensische Analyse des Netzwerks angeraten.
Codeausführung möglich
Beide Sicherheitslücken ermöglichen es Angreifern, über manipulierte Anfragen an SharePoint-Server beliebigen Code mit den Rechten des Dienstkontos auszuführen. Die Lücke CVE-2025-53770 betrifft dabei die unzureichende Validierung bestimmter HTTP-Header in Verbindung mit SharePoint-Komponenten, wodurch sich ein Remote Code Execution (RCE) über speziell präparierte Anfragen erreichen lässt.
CVE-2025-53771 wiederum erlaubt es, über einen Umweg über veraltete API-Endpunkte sicherheitsrelevante Schutzmechanismen wie die Authentifizierung zu umgehen. Die Kombination beider Schwachstellen wird derzeit aktiv genutzt, um Webshells wie spinstall0.aspx in legitime SharePoint-Verzeichnisse zu schreiben und persistente Zugriffsmöglichkeiten auf kompromittierte Systeme zu schaffen.