Kritische Sicherheitslücke in Microsoft SharePoint - aktiv ausgenützt, Updates verfügbar

21. Juli 2025

Beschreibung

Microsoft hat außerhalb des regulären Patchzyklus Informationen zu, sowie Sicherheitsaktualisierungen für eine kritische Zero-Day-Schwachstelle in Microsoft SharePoint veröffentlicht. Die Sicherheitslücke CVE-2025-53770 wird seit zumindest 18.07.2025 durch Bedrohungsakteure ausgenutzt. Bei der Lücke handelt es sich um eine Variante eines bereits bekannten und behobenen Problems, CVE-2025-49706.

CERT.at steht mit nationalen und internationalen Partner:innen im Austausch und informiert Betroffene in Österreich.

CVE-Nummer(n): CVE-2025-53770

CVSS Base Score: 9.8

Auswirkungen

Eine Ausnutzung der Schwachstelle ermöglicht Bedrohungsakteuren vollständigen Zugriff auf verwundbare Systeme, einschließlich des kompletten Zugriffes auf SharePoint-Inhalte, inklusive Dateisystemen und internen Konfigurationen, sowie die entfernte Ausführung von Code.

Betroffene Systeme

  • Microsoft SharePoint 2016 (on-Premises)
  • Microsoft SharePoint 2019 (on-Premises)

Abhilfe

Microsoft stellt Updates zur Verfügung, welche die Lücke schließen. Detaillierte Informationen dazu hat das Unternehmen in einem eigenen Empfehlungsdokument zusammengefasst.

Nachdem das Update eingespielt worden sind ist es unbedingt notwendig auf betroffenen Systemen die "SharePoint server ASP.NET machine keys" zu rotieren und den Webserver IIS neu zu starten. Eine Anleitung für die Schlüsselrotation findet sich in dem Empfehlungsdokument von Microsoft.

Weiters empfiehlt das Unternehmen Administrator:innen folgende Schritte zu setzen:

  • Aktivierung des "Antimalware Scan Interface" und Sicherstellung einer korrekten Konfiguration dessen.
  • Ausrollung von "Microsoft Defender for Endpoint" oder ähnlicher Lösungen um weitere Aktivitäten der Angreifer:innen nach möglicher Kompromittierung zu blockieren. Für den "Microsoft Defender for Endpoint" stellt Microsoft auch entsprechende Queries für die Suche nach verdächtigen Aktivitäten zur Verfügung.
  • Prüfen der Systemlogs auf HTTP-Zugriffe des Typs POST auf den Pfad /_layouts/15/ToolPane.aspx?DisplayMode=Edit sowie auf Zugriffe von folgenden IP-Adressen: 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Customer guidance for SharePoint vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770)
https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770