Zusammenfassung
Am 19. Juli 2025 veröffentlichte Microsoft ein Notfall-Advisory zu CVE-2025-53770, einer kritischen Remote-Code-Execution-Schwachstelle in On-Premise-SharePoint-Servern. Mit einem CVSS-Score von 9.8 und bereits laufender aktiver Zero-Day-Ausnutzung handelt es sich um einen der schwerwiegendsten SharePoint-Sicherheitsvorfälle der jüngeren Vergangenheit.
Die Schwachstelle entsteht durch unsachgemäße Deserialisierung nicht vertrauenswürdiger Daten im Endpunkt ToolPane.aspx. In Kombination mit dem Authentifizierungsbypass in CVE-2025-53771 erreichen Angreifer eine nicht authentifizierte Remote-Code-Execution – das Worst-Case-Szenario für jede Unternehmensanwendung. Innerhalb von 72 Stunden nach öffentlicher Verfügbarkeit eines Proof-of-Concept begannen Massenausnutzungskampagnen gegen Organisationen weltweit.
Besonders gefährlich ist die Wirkung nach der Ausnutzung. Angreifer führen nicht nur Code aus, sondern extrahieren die kryptografische MachineKey-Konfiguration des Servers und ermöglichen so persistenten Zugriff, der das Patchen übersteht. Organisationen müssen daher nicht nur Patches einspielen, sondern auch kryptografische Schlüssel rotieren und gründliche Kompromittierungs-Assessments durchführen.
Wichtigste Erkenntnisse
Einstufung kritisch
Zeitraum von Offenlegung bis zu Massenangriffen
Beobachtete tägliche Spitzenversuche
Prämie für die ursprüngliche Entdeckung
Betroffene Systeme und Patches
CVE-2025-53770 betrifft alle On-Premise-SharePoint-Server-Installationen. SharePoint Online in Microsoft 365 ist nicht betroffen. Microsoft hat Patches veröffentlicht, die die Schwachstelle beheben – Organisationen sollten diese unverzüglich einspielen.
| Produkt | Behobener Build | KB-Artikel | Status |
|---|---|---|---|
| SharePoint Server Subscription Edition | 16.0.18526.20508 | KB5002768 | Patch verfügbar |
| SharePoint Server 2019 | 16.0.10417.20037 | KB5002754 | Patch verfügbar |
| SharePoint Enterprise Server 2016 | 16.0.5513.1001 | KB5002760 | Patch verfügbar |
| SharePoint Online (Microsoft 365) | N/A | N/A | Nicht betroffen |
ToolShell-Angriffskette
Authentifizierungsbypass (CVE-2025-53771)
Angreifer senden POST-Anfragen an /_layouts/15/ToolPane.aspx mit einem manipulierten Referer-Header, der auf /_layouts/SignOut.aspx verweist. Dadurch behandelt SharePoint die Anfrage als vertrauenswürdig und umgeht die Authentifizierungsprüfung vollständig.
Remote Code Execution (CVE-2025-53770)
Mit umgangener Authentifizierung übermitteln Angreifer bösartige serialisierte Payloads im POST-Body. Der verwundbare Deserialisierungsprozess führt eingebettete PowerShell-Befehle serverseitig aus und ermöglicht so beliebige Code-Ausführung.
Persistenz durch Schlüssel-Diebstahl
Angreifer installieren eine Web Shell (spinstall0.aspx) und extrahieren ValidationKey und DecryptionKey des Servers aus der MachineKey-Konfiguration. Diese kryptografischen Geheimnisse ermöglichen das dauerhafte Fälschen von Authentifizierungs-Tokens und ViewState-Payloads.
Ausnutzungs-Chronologie
Technische Analyse
Die Hauptursache von CVE-2025-53770 liegt in der Verarbeitung serialisierter Daten im Endpunkt ToolPane.aspx. Diese Komponente, konzipiert für die Web-Part-Verwaltung von SharePoint, akzeptiert serialisierte Objekte ohne ausreichende Validierung. In Kombination mit dem Authentifizierungsbypass in CVE-2025-53771 erweitert sich die Angriffsfläche auf nicht authentifizierte Remote-Angreifer.
Der Authentifizierungsbypass nutzt einen Logikfehler in der Verarbeitung des HTTP-Referer-Headers. Setzen Angreifer diesen Header auf /_layouts/SignOut.aspx, lösen sie einen Codepfad aus, der eigentlich für Logout-Operationen gedacht ist und der Anfrage versehentlich Vertrauen einräumt. Dies zeigt eine grundlegende architektonische Schwäche: Authentifizierungsentscheidungen dürfen sich niemals auf client-seitig übermittelte Header stützen.
Was die Schwachstelle von schwerwiegend zu katastrophal macht, ist der Persistenzmechanismus nach der Ausnutzung. Die extrahierten MachineKey-Werte (ValidationKey und DecryptionKey) sind symmetrische kryptografische Schlüssel, die ViewState und Authentifizierungs-Tokens schützen. Mit ihnen können Angreifer eigenständig gültige Authentifizierungsdaten erzeugen und behalten Zugriff, selbst nachdem die Schwachstelle gepatcht und die Web Shell entfernt wurde.
Indicators of Compromise
Bösartige IP-Adressen
107.191.58.76, 104.238.159.149, 96.9.125.147 – beobachtet in den ersten Ausnutzungswellen. Am Perimeter blockieren und historische Verbindungen untersuchen.
Web-Shell-Artefakt
spinstall0.aspx wird im Verzeichnis \TEMPLATE\LAYOUTS\ abgelegt. SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
Ziel-Endpunkt
POST-Anfragen an /_layouts/15/ToolPane.aspx oder /_layouts/ToolPane.aspx mit SignOut.aspx im Referer-Header weisen auf Ausnutzungsversuche hin.
User-Agent-String
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 – in beobachteten Angriffen verwendet, aber leicht zu ändern.
Mitigationsstrategien
Sicherheits-Updates sofort einspielen
Installieren Sie umgehend KB5002768 (Subscription Edition), KB5002754 (2019) oder KB5002760 (2016). Diese Patches beheben sowohl die Deserialisierungs-Schwachstelle als auch den Authentifizierungsbypass.
Kompromittierungs-Assessment durchführen
Suchen Sie im LAYOUTS-Verzeichnis nach spinstall0.aspx oder weiteren anomalen ASPX-Dateien. Prüfen Sie IIS-Logs auf POST-Anfragen an ToolPane.aspx mit verdächtigen Referer-Headern.
Kryptografische Schlüssel rotieren
Bei vermuteter oder bestätigter Kompromittierung sollten Sie die MachineKey-Konfiguration (ValidationKey und DecryptionKey) rotieren. Ohne diesen Schritt können Angreifer weiterhin Zugangsdaten fälschen.
AMSI-Integration aktivieren
Microsoft empfiehlt, die AMSI-Integration (Antimalware Scan Interface) in SharePoint zu aktivieren, um bösartige Payloads während der Deserialisierung zu erkennen.
Endpoint-Schutz bereitstellen
Stellen Sie sicher, dass Microsoft Defender oder eine gleichwertige AV-Lösung mit aktiviertem Echtzeitschutz auf allen SharePoint-Servern läuft. Erkennungssignaturen für spinstall0.aspx sind verfügbar.
WAAP-Schutz implementieren
Setzen Sie Web-Anwendungs- und API-Schutz-Regeln ein, um Ausnutzungsversuche gegen ToolPane.aspx zu erkennen und zu blockieren. Filtern Sie Anfragen mit verdächtigen Referer-Headern.
Externen Zugriff einschränken
Falls externer SharePoint-Zugriff nicht geschäftskritisch ist, beschränken Sie /_layouts/-Endpunkte per Firewall-Regel oder Reverse-Proxy-Konfiguration auf interne Netzwerke.
CVE-2025-53770 verdeutlicht die Verkürzung des Schwachstellen-Lebenszyklus. Vom öffentlichen PoC bis zur Massenausnutzung in 72 Stunden bleibt keine Zeit für klassische Patch-Zyklen. Organisationen müssen: (1) Echtzeit-Schwachstellen-Intelligence betreiben, (2) vorab genehmigte Notfall-Patching-Verfahren bereitstellen, (3) während des Patchens kompensierende Kontrollen wie WAAP einsetzen und (4) von einer Kompromittierung ausgehen und sich auf entsprechende Assessments vorbereiten. Der Patch-Bypass-Charakter dieser Schwachstelle zeigt zudem, dass erste Patches unzureichend sein können – die kontinuierliche Überwachung neuer CVEs gegen dieselbe Komponente ist unverzichtbar.
Wie TR7 vor SharePoint-Ausnutzung schützt
WAAP-Deserialisierungsregeln
Der Web-Anwendungs- und API-Schutz von TR7 enthält Regeln zur Erkennung und Blockierung von Deserialisierungs-Angriffsmustern, auch gegen SharePoint-Endpunkte.
Erkennung von Header-Manipulation
Erweiterte Request-Inspektion erkennt verdächtige Header-Kombinationen, einschließlich Referer-Header-Manipulation in Authentifizierungsbypass-Angriffen.
Zugriffskontroll-Richtlinien
Granulare Zugriffskontroll-Regeln können den Zugriff auf sensible administrative Endpunkte wie /_layouts/ auf autorisierte Netzwerke beschränken.
Echtzeit-Bedrohungsanalysen
Kontinuierliches Monitoring und Alerting für Ausnutzungsversuche. Erkennen Sie Angriffsmuster und IOCs in Ihrer gesamten Infrastruktur.
Umfassendes Logging
Detaillierte Request-Logs ermöglichen forensische Analysen und Kompromittierungs-Assessments. Korrelieren Sie Angriffsversuche mit IOC-Intelligence.
Automatisierte Bedrohungsreaktion
Automatisches Blockieren bekannter bösartiger IPs und Angriffsmuster. Reduziert die Time-to-Mitigation von Stunden auf Sekunden.
Referenzen & Quellen
Umfassende technische Analyse der Ausnutzung von CVE-2025-53770, einschließlich IOCs, Angriffschronologie und Erkennungsleitfaden. https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/
Offizieller Microsoft-Leitfaden für Kunden zu CVE-2025-53770, einschließlich Patch-Informationen und empfohlener Mitigationen. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
Details zu den Notfall-WAAP-Regeln von Cloudflare und zum beobachteten Angriffsvolumen (Spitze 300.000 Versuche). https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/
Analyse der ToolShell-Exploit-Kette durch das Security-Team und Empfehlungen für Security-Teams. https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/
Offizieller Eintrag der National Vulnerability Database mit CVSS-Bewertung und technischen Details. https://nvd.nist.gov/vuln/detail/CVE-2025-53770
Cloud-Sicherheitsperspektive auf CVE-2025-53770 und CVE-2025-53771, einschließlich Erkennungsstrategien. https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k
Schützen Sie Ihre SharePoint-Infrastruktur
CVE-2025-53770 zeigt, dass sich Zero-Day-Ausnutzungsfenster auf Tage statt Wochen verkürzen. Die integrierte Sicherheitsplattform von TR7 bietet mehrschichtige Verteidigung gegen aufkommende Bedrohungen für Unternehmensanwendungen.
WAAP-Schutz entdecken