Die schwere Sharepoint-Sicherheitslücke "ToolShell" hält Microsoft-Admins und Sicherheitsexperten weiter in Atem. Der Softwarekonzern hat nun erste Patches für die on-premise-Versionen seines Kollaborationswerkzeugs bereitgestellt. Doch Administratoren müssen weitere Maßnahmen ergreifen, um mögliche Hintertüren zu beseitigen.
Für die beiden betroffenen Major-Versionen Sharepoint Enterprise Server 2016 und Sharepoint Server 2019 hat Microsoft jetzt Updates bereitgestellt. Die fehlerbereinigte Version Sharepoint Enterprise Server 2016 16.0.5508.1000 und Sharepoint Server 2019 16.0.10417.20027 stehen auf den Hilfeseiten des Konzerns bereit. Microsoft weist ausdrücklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net "Machine Keys" rotiert werden müssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell finden sich entsprechende Powershell-Commandlets. Microsofts Cloudangebote sind nicht betroffen, lediglich "On-Premise"-Installationen sind gefährdet. Deren Admins sollten unverzüglich handeln.
Auch die US-Cybersicherheitsbehörde CISA warnt mittlerweile in ihrer "Known Exploited Vulnerabilities Database" vor der Sicherheitslücke und hat einen eigenen Überblicksartikel verfasst, der im Wesentlichen auf Microsofts Hinweisen beruht. Anweisungen der CISA sind für US-Behörden bindend. Das Sicherheitsunternehmen Eye Security hält in seinem Blog eine ausführliche Analyse nebst Zeitstrahl vor – demnach begann die Ausnutzung der Lücke in der Nacht vom 18. auf den 19. Juli und Dutzende Systeme sind "geownt".
Variante von Pwn2Own-Lücke
Bei der Sicherheitslücke mit der CVE-ID CVE-2025-53770 handelt es sich um eine Variante der auf der Pwn2Own Berlin genutzten Lücken CVE-2025-49706 & CVE-2025-49704. Sie erlaubt mit einer HTTP-Anfrage aus der Ferne die Übernahme des Sharepoint-Servers. Wie die deutsche "Code White GmbH" auf X demonstriert, reicht es aus, an der richtigen Stelle ein Systemkommando einzuschleusen. So konnten die bislang unbekannten Angreifer die Systeme übernehmen und die "Machine Keys" abziehen. Mit diesen ist es möglich, sich dauerhaften Zugriff auf den Sharepoint-Server zu sichern.
(cku)
English (US) ·