SharePoint-Sicherheitslücke Toolshell: Exploits und Abwehr

Welche Sharepoint-Produkte sind betroffen?

• SharePoint Enterprise Server 2016
• SharePoint Server 2019
• SharePoint Server Subscription Edition

Microsoft hat eine Hilfeseite mit Hinweisen zu den Schwachstellen veröffentlicht, über die auch die veröffentlichten Security-Updates verlinkt sind.

Wie wird die SharePoint-Lücke Toolshell ausgenutzt?

Nach Angaben des BSI seien weltweit über 9000 SharePoint-Systeme exponiert und über 320 in Deutschland. Aufgrund der weit verzweigten Verbindungen der SharePoint-Lösungen zu anderen Systemen in Unternehmen seien diese ein begehrtes Angriffsziel. Weiterführende Angriffe mit Seitwärtsbewegungen seien möglich. Nach bisherigen Erkenntnissen des BSI habe es erste Angriffe mindestes seit dem 18. Juli auf die Schwachstelle gegeben.

Die Sicherheitsexperten von Bitdefender haben ebenfalls beobachtet, dass Angreifer die Schwachstelle aktiv ausnutzen. Man habe Angriffe in Deutschland, der Schweiz, Österreich sowie in den Niederlanden den Vereinigten Staaten, Kanada, Mexiko, Südafrika und Jordanien beobachtet. Es würde die Schwachstelle für eine nicht authentifizierte Remote-Code-Ausführung ausgenutzt. Die Angreifer würden ASP.NET-Key exfiltrieren. Hierfür würden bösartige ASP-NET-Webshells implementiert. Damit könnten sie die sensiblen Schlüssel extrahieren. Bitdefender hat eine ausführliche Analyse hierzu veröffentlicht, hier finden sich auch die Indicator of Compromise (IoC), um festzustellen, ob ein Angriff erfolgt ist.

„Unternehmen, die möglicherweise betroffen sind, sollten aktiv nach Hinweisen auf eine Kompromittierung (Indicators of Compromise; IoC) suchen. Dazu zählt insbesondere eine Datei namens spinstall0.aspx, die auf den angegriffenen Systemen erstellt wurde – gegebenenfalls mit abweichender Dateierweiterung.“, so Satnam Narang, Senior Staff Research Engineer bei Tenable. „Wir raten Unternehmen dringend, umgehend Incident-Response-Maßnahmen einzuleiten, um mögliche Kompromittierungen zu identifizieren. Wo noch keine Angriffe festgestellt wurden, sollten die verfügbaren Sicherheitsupdates eingespielt und die von Microsoft empfohlenen Behebungsmaßnahmen umgesetzt werden.“

Update 23.07.2025: Microsoft hat inzwischen in einem Blogbeitrag bestätigt, dass es sich bei den beobachteten Angreifern um Gruppen aus China handelt. Laut Microsoft handele es sich dabei um die Akteure Linen Typhoon und Violet Typhoon. Diese würden die Schwachstellen ausnutzen, um die entsprechenden SharePoint-Server anzugreifen. Darüber hinaus habe man den Bedrohungsakteur Storm-2603 beobachtet, der ebenfalls in China ansässig sei. Untersuchungen zu weiteren Akteuren, die diese Sicherheitslücken ausnutzen, dauern an.

Zuvor hatte bereits Mandiant von Google Cloud auf Angreifer mit chinesischem Ursprung hingewiesen: „Wir gehen davon aus, dass es sich bei mindestens einem der für diese frühe Ausnutzung verantwortlichen Akteure um einen Bedrohungsakteur mit chinesischem Hintergrund handelt. Es ist wichtig zu verstehen, dass mehrere Akteure diese Schwachstelle nun aktiv ausnutzen. Wir gehen fest davon aus, dass sich dieser Trend fortsetzen wird, da verschiedene andere Bedrohungsakteure aus unterschiedlichen Motiven diese Schwachstelle ebenfalls ausnutzen werden.”, so Charles Carmakal, CTO von Mandiant Consulting, Google Cloud.

Dieser Artikel wurde ursprünglich am 22.07.2025 veröffentlicht und von der ComputerWeekly-Redaktion bei neu vorliegenden Informationen aktualisiert.