Microsoft hat am Sonntag, dem 21. Juli 2025, ein außerplanmäßiges Sicherheitsupdate für eine gravierende Schwachstelle in lokalen Installationen von Microsoft SharePoint Server veröffentlicht. Die Lücke mit der Bezeichnung CVE-2025-53770 ermöglicht Remote Code Execution (RCE) durch die Deserialisierung nicht vertrauenswürdiger Daten. Betroffen sind ausschließlich On-Premises-Versionen – Microsoft 365 und SharePoint Online sind laut Hersteller nicht betroffen. Darüber berichtet NUME.ch unter Berufung auf The Hacker News.
Die Schwachstelle hat einen CVSS-Wert von 9.8 und wird bereits aktiv von Angreifern ausgenutzt. Sicherheitsforscher beobachten seit dem 18. Juli Angriffe auf Universitäten, Banken, staatliche Einrichtungen und Krankenhäuser in mehreren Ländern. Die Angreifer umgehen Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO), verschaffen sich privilegierten Zugriff, installieren Backdoors, exfiltrieren Daten und stehlen kryptografische Schlüssel.
Besonders problematisch ist, dass SharePoint tief mit anderen Microsoft-Diensten wie Outlook, Teams, OneDrive und Office verknüpft ist. Ein erfolgreicher Angriff kann damit weitreichende Folgen für ganze Netzwerke haben. Laut Sicherheitsexperten reicht das reine Einspielen des Patches nicht aus – in vielen Fällen sind forensische Maßnahmen notwendig.
Zusätzlich zur kritischen Lücke wurde eine zweite Schwachstelle bekannt: CVE-2025-53771, ein Spoofing-Fehler durch unzureichende Pfadvalidierung. Beide Lücken hängen mit bereits dokumentierten Schwachstellen CVE-2025-49704 und CVE-2025-49706 zusammen, die in der Exploit-Kette „ToolShell“ verwendet wurden.
Microsoft hat folgende SharePoint-Versionen aktualisiert:
- SharePoint Server 2019 (16.0.10417.20027)
- SharePoint Enterprise Server 2016 (16.0.5508.1000)
- SharePoint Server Subscription Edition
- SharePoint Server 2019 Core
Die empfohlenen Maßnahmen umfassen:
- Sofortige Installation der Sicherheitsupdates
- Aktivierung der Antimalware Scan Interface (AMSI) im Full Mode
- Einsatz von Microsoft Defender Antivirus oder gleichwertigen Schutzprogrammen
- Rotation der ASP.NET Machine Keys nach dem Patch
- Neustart aller betroffenen IIS-Server
Die US-Cybersicherheitsbehörde CISA hat CVE-2025-53770 in den Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Alle US-Behörden sind verpflichtet, die Updates spätestens bis zum 21. Juli 2025 zu installieren. Das Sicherheitsunternehmen Eye Security meldet bisher mindestens 54 betroffene Organisationen.
Bleiben Sie informiert – Relevantes. Jeden Tag. Lesen Sie, worum es heute wirklich geht: Cyber-Leck: 16 Milliarden Zugangsdaten veröffentlicht – Gefahr für Millionen Nutzer weltweit