busro - stock.adobe.com
SharePoint-Sicherheitslücke Toolshell: Exploits und Abwehr
Die als Toolshell bekannten Sicherheitslücke in einigen SharePoint-Produkten wird aktiv ausgenutzt. Es stehen Updates bereit, sowie Analysen zu Erkennung möglicher Angriffe.
Am 19. Juli wurde bekannt, dass es Angreifern gelungen war, bereits gepatchte Schwachstellen auf modifizierte Weise auszunutzen. Nach derzeitigen Erkenntnissen sei es Angreifern gelungen, die mit dem Juli-Patchday ausgerollten Schutzmaßnahmen zu umgehen. Damit würden die bereits ausgerollten Sicherheitsupdates nicht mehr ausreichen. Die Schwachstelle CVE-2025-53770 ermöglicht es Angreifern Code aus der Ferne auszuführen. Diese Ausnutzung erfolge in Verbindung mit der Schwachstelle Schwachstelle CVE-2025-53771.
Wenn es Angreifern gelingt, die inzwischen als Toolshell bekannten Schwachstellen auszunutzen, kann dies verheerende Folgen für Unternehmen haben. Es ermögliche Angreifer MachineKey-Konfigurationsdetails von verwundbaren SharePoint-Server zu erhalten. Darüber hinaus könnten die Angreifer vollen Zugriff auf SharePoint-Inhalte, interne Konfiguration sowie Dateisysteme erhalten. Von den Schwachstellen sind On-Premises-Sharepoint-Server betroffen.
Welche Sharepoint-Produkte sind betroffen?
- SharePoint Enterprise Server 2016
- SharePoint Server 2019
- SharePoint Server Subscription Edition
Microsoft hat eine Hilfeseite mit Hinweisen zu den Schwachstellen veröffentlicht, über die auch die veröffentlichten Security-Updates verlinkt sind.
Wie wird die SharePoint-Lücke Toolshell ausgenutzt?
Nach Angaben des BSI seien weltweit über 9000 SharePoint-Systeme exponiert und über 320 in Deutschland. Aufgrund der weit verzweigten Verbindungen der SharePoint-Lösungen zu anderen Systemen in Unternehmen seien diese ein begehrtes Angriffsziel. Weiterführende Angriffe mit Seitwärtsbewegungen seien möglich. Nach bisherigen Erkenntnissen des BSI habe es erste Angriffe mindestes seit dem 18. Juli auf die Schwachstelle gegeben.
Die Sicherheitsexperten von Bitdefender haben ebenfalls beobachtet, dass Angreifer die Schwachstelle aktiv ausnutzen. Man habe Angriffe in Deutschland, der Schweiz, Österreich sowie in den Niederlanden den Vereinigten Staaten, Kanada, Mexiko, Südafrika und Jordanien beobachtet. Es würde die Schwachstelle für eine nicht authentifizierte Remote-Code-Ausführung ausgenutzt. Die Angreifer würden ASP.NET-Key exfiltrieren. Hierfür würden bösartige ASP-NET-Webshells implementiert. Damit könnten sie die sensiblen Schlüssel extrahieren. Bitdefender hat eine ausführliche Analyse hierzu veröffentlicht, hier finden sich auch die Indicator of Compromise (IoC), um festzustellen, ob ein Angriff erfolgt ist.
„Unternehmen, die möglicherweise betroffen sind, sollten aktiv nach Hinweisen auf eine Kompromittierung (Indicators of Compromise; IoC) suchen. Dazu zählt insbesondere eine Datei namens spinstall0.aspx, die auf den angegriffenen Systemen erstellt wurde – gegebenenfalls mit abweichender Dateierweiterung.“, so Satnam Narang, Senior Staff Research Engineer bei Tenable. „Wir raten Unternehmen dringend, umgehend Incident-Response-Maßnahmen einzuleiten, um mögliche Kompromittierungen zu identifizieren. Wo noch keine Angriffe festgestellt wurden, sollten die verfügbaren Sicherheitsupdates eingespielt und die von Microsoft empfohlenen Behebungsmaßnahmen umgesetzt werden.“
