Die Schwachstelle ermöglicht es Angreifern, vollständige Kontrolle über verwundbare SharePoint-Server zu erlangen. Dadurch können sie auf vertrauliche Unternehmensdaten zugreifen, kryptografisches Material entwenden, persistente Hintertüren installieren und sich lateral durch interne Netzwerke bewegen. In vielen Fällen drohen daraus resultierend Datendiebstahl, Ransomware-Angriffe und langfristige, schwer erkennbare Kompromittierungen, selbst nach der Installation von Sicherheitsupdates.
Eye Research deckt Massenausnutzung auf
Am Abend des 18. Juli beobachtete Eye Research auffällige Aktivitäten auf dem lokal gehosteten SharePoint-Server eines Kunden. Eine schadhafte Datei war hochgeladen worden, die die Exfiltration kryptografischer Schlüssel ermöglichte. Diese Schlüssel können missbraucht werden, um Authentifizierungsmechanismen zu umgehen und sich dauerhaft Zugang zu SharePoint-Umgebungen zu verschaffen, selbst nach dem Einspielen regulärer Sicherheitsupdates. Im Rahmen der Erstuntersuchung erkannte Eye Security, dass es auf eine bislang unbekannte Zero-Day-Schwachstelle in SharePoint gestoßen war, die aktiv ausgenutzt wurde.
Nach dieser Entdeckung untersuchte Eye Research mehr als 8.000 öffentlich erreichbare SharePoint-Instanzen weltweit und konnte Dutzende kompromittierte Systeme identifizieren. Eye Security informierte umgehend betroffene Organisationen sowie nationale CERTs und arbeitet seither eng mit Partnern in der internationalen Cybersicherheits-Community an Gegenmaßnahmen.
„Hier handelt es sich nicht um ein theoretisches Risiko – die Schwachstelle wird bereits aktiv ausgenutzt, um Hintertüren zu installieren und sensible Daten von SharePoint-Servern zu stehlen“, warnt Eye Security. „Die Auswirkungen betreffen nicht nur SharePoint: Häufig sind diese Server mit geschäftskritischen Systemen wie E-Mail- oder Datei-Infrastrukturen verknüpft.“
Microsoft bestätigt aktive Ausnutzung
Microsoft hat die Schwachstelle mittlerweile offiziell bestätigt und sie als kritischen Zero-Day unter der Kennung CVE-2025-53770 eingestuft. Das Unternehmen hat Notfall-Updates sowie Handlungsempfehlungen veröffentlicht, um betroffene Systeme abzusichern.
Eye Security ruft Unternehmen, die SharePoint Server lokal betreiben, dringend zum Handeln auf. Eine schnelle Analyse möglicher Kompromittierungen, die Isolierung betroffener Systeme sowie das Austauschen gefährdeter kryptografischer Schlüssel sind entscheidend, um weiteren Schaden zu verhindern. Für die forensische Aufarbeitung wird empfohlen, auf erfahrene Incident-Response-Teams zurückzugreifen.
Schnelle Reaktion für Eye Security-Kunden
Für Kunden von Eye Security konnte der Angriff rechtzeitig gestoppt werden. Unser 24/7 Security Operations Center (SOC) reagierte umgehend, isolierte betroffene Systeme und leitete Sofortmaßnahmen ein. Nachfolgende Untersuchungen bestätigten, dass keine weiteren Systeme kompromittiert wurden.
Weitere Informationen und technische Empfehlungen:
- Eye Research Blog: SharePoint Under Siege – weltweit zitierter technischer Bericht
- Microsoft Advisory zu CVE-2025-53770
Internationale Berichterstattung:
Über Eye Security und Eye Research
Eye Research ist die Forschungsabteilung von Eye Security. Eye Research analysiert aktuelle Bedrohungen, Schwachstellen und Malware in Echtzeit und veröffentlicht seine Erkenntnisse in öffentlich zugänglichen Fachbeiträgen. Diese Arbeit bildet das Fundament für Eye Securitys Managed Detection and Response (MDR)- und Incident-Response-Dienste.
www.eye.security
Mit über 750 Kunden, 60 Partnern und fünf Niederlassungen gehört Eye Security zu den am schnellsten wachsenden Cybersicherheitsunternehmen Europas. Der IT-Sicherheitsdienstleister bietet eine integrierte Lösung aus 24/7 Managed Detection & Response (MDR) und Cyber-Versicherung, maßgeschneidert für mittelständische Unternehmen. Als vom BSI empfohlener APT-Response-Dienstleister gehört Eye Security zu den wenigen hochqualifizierten Anbietern in Europa.
Eye Security GmbH
Franz-Haniel-Platz 1
47119 Duisburg
Telefon: +49 (211) 81995603
https://www.eye.security/de/
Marketing Manager
Telefon: +4920366888901
E-Mail: mara.jochem@eye.security
