CVE-2025-53770 Erkennung: Microsoft SharePoint Zero-Day-Schwachstelle wird aktiv für RCE-Angriffe ausgenutzt
Inhaltsverzeichnis:
Diesen Sommer gab es eine Welle kritischer Schwachstellen, die Microsoft-Produkte betrafen. Eine neue RCE-Schwachstelle in Windows, die als CVE-2025-33053 getrackt wird, wurde aktiv von der Stealth Falcon APT-Gruppe ausgenutzt. Gleichzeitig wurde ein weiterer schwerwiegender Fehler mit dem Namen EchoLeak (CVE-2025-32711) in Microsoft Copilot entdeckt, der eine stille Datenexfiltration via E-Mail ermöglicht, ohne dass eine Benutzerinteraktion erforderlich ist.
Während diese Schwachstellen noch frisch im Gedächtnis sind, richtet sich die Aufmerksamkeit auf eine weitere Bedrohung mit hoher Auswirkung namens ToolShell. Die neuartige Zero-Day-Schwachstelle (CVE-2025-53770), die in diesen Angriffen verwendet wird, ist eine Variante der kürzlich gepatchten SharePoint RCE-Schwachstelle (CVE-2025-49704), die aktuell in freier Wildbahn ausgenutzt wird. Angreifer nutzen sie, um Backdoors auf kompromittierten lokalen SharePoint-Servern zu installieren und Sicherheitskeys zu extrahieren, was einen vollständigen Systemkompromiss ermöglicht.
Erkennung von Exploit-Versuchen zu CVE-2025-53770
Mit über 1,4 Milliarden Geräten, die Windows nutzen, und der weltweiten Abhängigkeit von dessen Diensten steht Microsoft im Zentrum des heutigen digitalen Ökosystems. Der BeyondTrust Microsoft Vulnerabilities Report 2025 dokumentierte 2024 rekordverdächtige 1.360 veröffentlichte Schwachstellen – ein Anstieg von 11 % gegenüber dem bisherigen Höchststand. Dieser Aufwärtstrend verdeutlicht die wachsende Angriffsfläche und den dringenden Bedarf für Organisationen, sich proaktiv an die sich ständig weiterentwickelnde Bedrohungslandschaft anzupassen.
Registrieren Sie sich für die SOC Prime Plattform, um Echtzeit-Cyber-Bedrohungsinformationen und kuratierte Erkennungsalgorithmen für Exploit-Versuche von CVE-2025-53770 zu erhalten. Die Plattform bietet SOC-Teams zudem eine umfassende Produktpalette für KI-gestützte Detection Engineering, automatisiertes Threat Hunting und fortschrittliche Bedrohungserkennung.
Cyber-Abwehrexperten, die weitere Erkennungsmethoden für Exploit-Versuche von Schwachstellen suchen, können im Threat Detection Marketplace nach dem Tag „CVE“ suchen.
Alle Erkennungen sind plattformübergreifend für diverse SIEM-, EDR- und Data-Lake-Technologien einsetzbar und orientieren sich am MITRE ATT&CK Framework, um die Bedrohungsanalyse zu erleichtern. Die SOC Prime Plattform stattet Sicherheitsteams mit hochwertigem Detection-Content aus, der mit CTI-Links, Angriffstimelines, Audit-Konfigurationen, Triage-Empfehlungen und weiterem relevantem Kontext angereichert ist.
Sicherheitsingenieure können zudem Uncoder AI nutzen — eine private, nicht-agentische KI, die speziell für threat-informed Detection Engineering entwickelt wurde. Mit Uncoder können Defender automatisch IOCs in umsetzbare Hunting Queries umwandeln, Erkennungsregeln aus Rohbedrohungsberichten erstellen, ATT&CK-Tags vorhersagen, KI-gestützte Query-Optimierung nutzen und Detection-Content plattformübergreifend übersetzen.
Analyse von CVE-2025-53770
Zwei kritische Zero-Day-Schwachstellen in Microsoft SharePoint, getrackt als CVE-2025-53770 und CVE-2025-53771, werden seit mindestens dem 18. Juli in Angriffen in der Wildnis ausgenutzt, ohne dass bisher ein offizieller Patch veröffentlicht wurde. Weltweit sind über 85 Server betroffen.
CVE-2025-53770, eine hochkritische Sicherheitslücke mit einem CVSS-Wert von 9,8, gilt als Variante der zuvor gepatchten CVE-2025-49704, einer Code-Injection- und RCE-Schwachstelle, die Microsoft im Juli 2025 Patch Tuesday behoben hat. Die Exploit-Aktivität, „ToolShell“ genannt, ermöglicht Angreifern unauthentifizierten Zugriff auf verwundbare Systeme und vollen Zugriff auf SharePoint-Inhalte, einschließlich Dateispeicherung und interner Konfigurationen, sowie RCE im gesamten Netzwerk.
CVE-2025-53770 betrifft die Deserialisierung unzuverlässiger Daten in lokalen SharePoint-Instanzen, was einem unauthentifizierten Angreifer RCE über das Netzwerk erlaubt. Nach dem Zugriff können Angreifer vertrauenswürdige Payloads fälschen, um Persistenz oder laterale Bewegung zu ermöglichen, während sie legitime SharePoint-Operationen vortäuschen.
In der Kundeninformation bestätigte Microsoft, dass Angreifer Schwachstellen in lokalen SharePoint Server-Systemen aktiv ausnutzen, die im Juli-Sicherheitsupdate nur teilweise gemindert wurden. Beide Sicherheitsprobleme betreffen ausschließlich lokale Installationen, während SharePoint Online in Microsoft 365 nicht betroffen ist.
Um die Risiken der genannten Schwachstellen vollständig zu beheben, hat der Hersteller Sicherheitsupdates für SharePoint Subscription Edition und SharePoint Server 2019 veröffentlicht. Das Unternehmen empfiehlt dringend, diese Updates unverzüglich zu installieren, um die eigenen Umgebungen zu schützen. Microsoft erklärte außerdem, dass ein vollständiger Fix derzeit ausgiebig getestet wird und in einem zukünftigen Update erscheinen wird.
Bis ein vollständiger Patch vorliegt, empfiehlt der Hersteller dringend, die AMSI-Integration in SharePoint zu aktivieren und auf allen SharePoint-Servern Microsoft Defender Antivirus auszuführen. Falls AMSI nicht aktiviert werden kann, sollten die verwundbaren SharePoint-Server vorsorglich vom Internet getrennt werden.
Am 20. Juli gab die CISA eine Warnung heraus, die eine aktive Ausnutzung von CVE-2025-53770 bestätigt. Als potenzielle Gegenmaßnahmen empfiehlt die CISA, die entsprechenden Microsoft-Sicherheitsupdates zu prüfen, verdächtige POST-Anfragen an /ToolPane.aspx?DisplayMode=Edit zu beobachten, IP-Adressen wie 107.191.58[.]76, 104.238.159[.]149 und 96.9.125[.]147 zu scannen, IPS-/WAF-Regeln zu aktualisieren, detaillierte Ereignisprotokolle zu aktivieren und Layout- sowie Adminrechte einzuschränken.
Die CISA arbeitete schnell mit Microsoft zusammen, um eine koordinierte Reaktion zu ermöglichen und Organisationen auf wichtige Gegenmaßnahmen hinzuweisen. Dieser Fall unterstreicht die entscheidende Rolle der operativen Zusammenarbeit zwischen Forschern, Technologieanbietern und der CISA, um eine schnelle Bedrohungserkennung und eine einheitliche Verteidigung zum Schutz nationaler und innerstaatlicher Sicherheit zu gewährleisten.
Kollektive Cyberabwehr und koordinierte Anstrengungen zwischen Regierungen, privaten Anbietern und der Sicherheitsforschung sind essenziell, um moderne Bedrohungsakteure zu bekämpfen und schnellere Erkennung, Reaktion und Resilienz angesichts zunehmend komplexer Angriffe zu ermöglichen. Die SOC Prime Plattform für kollektive Cyberabwehr, unterstützt durch KI, Automatisierung, Echtzeit-Bedrohungsinformationen und basierend auf Zero-Trust-Prinzipien, hilft globalen Organisationen, Cyberbedrohungen mit kritischen Schwachstellen und Zero-Days zu übertreffen und eine widerstandsfähige Cybersicherheitsstrategie aufzubauen.
