Startseite Blog

Kritische Sicherheitslücke in SharePoint Server

Aktuell gibt es in Microsoft SharePoint Server eine Sicherheitslücke (CVE-2025-53770), die aktiv ausgenutzt wird.

Handeln Sie und schließen Sie die Sicherheitslücke in SharePoint Server

Die Schwachstelle wird unter dem Namen „ToolShell“ geführt und ist eine Variante der bereits bekannten CVE-2025-49706. Sie erlaubt Angreifern vollständigen, unauthentifizierten Remote-Zugriff auf SharePoint-Inhalte sowie Konfigurationen und beliebigen Code auszuführen.

Welche Systeme sind betroffen?

Betroffen sind nur On-Premises SharePoint Server (nicht SharePoint Online): SharePoint Server 2016, 2019 und Subscription Edition.

Microsoft hat zwar Sicherheitsupdates veröffentlicht, die die Schwachstelle vollständig schließen – allerdings nur für SharePoint Server 2019 und Subscription Edition. Für SharePoint 2016 wird ein Update vorbereitet, hier sollte allerdings dennoch das letzte veröffentlichte Sicherheitsupdate installiert werden.

Was sollten Sie tun?

Wir empfehlen Ihnen dringend, die folgenden Maßnahmen zeitnah umzusetzen, um Ihre Umgebung vor potenziellen Angriffen zu schützen.

  1. Installieren Sie die letzten Sicherheitsupdates inkl. des Juli 2025 Sicherheitsupdates:
    • Update für SharePoint Subscription Edition (KB5002751 und KB5002768)
    • Update für SharePoint Server 2019 (KB5002741 und KB5002754)
    • Update für SharePoint Server 2016 (KB5002744)
  2. Aktivieren Sie AMSI (Antimalware Scan Interface) und stellen Sie sicher, dass Microsoft Defender Antivirus korrekt konfiguriert ist.
  3. Rotieren Sie die ASP.NET Machine Keys und starten Sie den IIS-Dienst neu.
  4. Setzen Sie Microsoft Defender for Endpoint oder eine vergleichbare Lösung zur Bedrohungserkennung ein.
  5. Überwachen Sie Ihre Systeme aktiv auf Anzeichen einer Kompromittierung, z. B.:
    • POST-Anfragen an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    • Dateien wie spinstall0.aspx im Layout-Verzeichnis
    • Verdächtige PowerShell-Prozesse durch w3wp.exe
  6. Blockieren Sie bekannte IP-Adressen (z. B. 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147) in Ihrer Firewall

Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen selbstverständlich zur Verfügung.

Referenzen:

[1] Customer guidance for SharePoint vulnerability CVE-2025-53770
[2] Security Update Guide – Microsoft Security Response Center
[3] Security Update Guide – Microsoft Security Response Center

Mitarbeiterportrait: Dirk Theisen, Sales Manager Modern Collaboration

Ihr Ansprechpartner : Dirk Theisen

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | End-of-Life für Microsoft Dynamics 2016 On-Premises

    Am 13.01.2026 beendet Microsoft den Support für Dynamics 2016 On-Premises. Was müssen Sie tun, um weiterhin Support, Bugfixing und Updates zu erhalten? ORBIT informiert!

    Online
    Zur Veranstaltung

  • Event München | Fully Managed SOC Services | mit Arctic Wolf & Telekom

    Fully Managed SOC Services: Lernen Sie Lösungen für KI-gesteuerte Cybersecurity kennen – praxisnah, für Profis, mit Branchenexpert*innen

    Telekom Innovation Center München, Elisabeth-Selbert-Str. 1, 80939 München
    Zur Veranstaltung

  • Event | Save like a Pro: mit Arctic Wolf & NetApp im Phantasialand

    Techpower, SOC-Boost & Achterbahn! Melden Sie sich jetzt für unser Event mit Arctic Wolf und NetApp im Phantasialand an. Erst Input, dann Loopings! 🎢

    Phantasialand Brühl
    Zur Veranstaltung

  • Sales Summit 2025

    Treffen Sie ORBIT am 19. & 20.11. in Hamburg. Wir sind vor Ort – als Aussteller und mit einer Masterclass von Ralf Selzer. Wir freuen uns auf Ihren Besuch!

    Schuppen 52 | Australiastraße 52 | 20457 Hamburg
    Zur Veranstaltung