Startseite Blog

Kritische Sicherheitslücke in SharePoint Server

Aktuell gibt es in Microsoft SharePoint Server eine Sicherheitslücke (CVE-2025-53770), die aktiv ausgenutzt wird.

Handeln Sie und schließen Sie die Sicherheitslücke in SharePoint Server

Die Schwachstelle wird unter dem Namen „ToolShell“ geführt und ist eine Variante der bereits bekannten CVE-2025-49706. Sie erlaubt Angreifern vollständigen, unauthentifizierten Remote-Zugriff auf SharePoint-Inhalte sowie Konfigurationen und beliebigen Code auszuführen.

Welche Systeme sind betroffen?

Betroffen sind nur On-Premises SharePoint Server (nicht SharePoint Online): SharePoint Server 2016, 2019 und Subscription Edition.

Microsoft hat zwar Sicherheitsupdates veröffentlicht, die die Schwachstelle vollständig schließen – allerdings nur für SharePoint Server 2019 und Subscription Edition. Für SharePoint 2016 wird ein Update vorbereitet, hier sollte allerdings dennoch das letzte veröffentlichte Sicherheitsupdate installiert werden.

Was sollten Sie tun?

Wir empfehlen Ihnen dringend, die folgenden Maßnahmen zeitnah umzusetzen, um Ihre Umgebung vor potenziellen Angriffen zu schützen.

  1. Installieren Sie die letzten Sicherheitsupdates inkl. des Juli 2025 Sicherheitsupdates:
    • Update für SharePoint Subscription Edition (KB5002751 und KB5002768)
    • Update für SharePoint Server 2019 (KB5002741 und KB5002754)
    • Update für SharePoint Server 2016 (KB5002744)
  2. Aktivieren Sie AMSI (Antimalware Scan Interface) und stellen Sie sicher, dass Microsoft Defender Antivirus korrekt konfiguriert ist.
  3. Rotieren Sie die ASP.NET Machine Keys und starten Sie den IIS-Dienst neu.
  4. Setzen Sie Microsoft Defender for Endpoint oder eine vergleichbare Lösung zur Bedrohungserkennung ein.
  5. Überwachen Sie Ihre Systeme aktiv auf Anzeichen einer Kompromittierung, z. B.:
    • POST-Anfragen an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    • Dateien wie spinstall0.aspx im Layout-Verzeichnis
    • Verdächtige PowerShell-Prozesse durch w3wp.exe
  6. Blockieren Sie bekannte IP-Adressen (z. B. 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147) in Ihrer Firewall

Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen selbstverständlich zur Verfügung.

Referenzen:

[1] Customer guidance for SharePoint vulnerability CVE-2025-53770
[2] Security Update Guide – Microsoft Security Response Center
[3] Security Update Guide – Microsoft Security Response Center

Mitarbeiterportrait: Dirk Theisen, Sales Manager Modern Collaboration

Ihr Ansprechpartner : Dirk Theisen

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | Wie KI-Agents den Service optimieren

    Lernen Sie Ihre neuen Service-Mitarbeiter kennen: Der KI-Agent ist 24/7 erreichbar, kümmert sich um jede Anfrage so kompetent, wie Ihre Kunden es wünschen.

    Online
    Zur Veranstaltung

  • Online-Seminar | KI-Agent bauen – in 60 Minuten

    Hermann del Campo zeigt live, wie Sie in nur 60 Minuten Ihren eigenen KI-Agenten bauen – Schritt für Schritt, hands-on, ohne Vorkenntnisse.

    Online
    Zur Veranstaltung