Startseite Blog

Kritische Sicherheitslücke in SharePoint Server

Aktuell gibt es in Microsoft SharePoint Server eine Sicherheitslücke (CVE-2025-53770), die aktiv ausgenutzt wird.

Handeln Sie und schließen Sie die Sicherheitslücke in SharePoint Server

Die Schwachstelle wird unter dem Namen „ToolShell“ geführt und ist eine Variante der bereits bekannten CVE-2025-49706. Sie erlaubt Angreifern vollständigen, unauthentifizierten Remote-Zugriff auf SharePoint-Inhalte sowie Konfigurationen und beliebigen Code auszuführen.

Welche Systeme sind betroffen?

Betroffen sind nur On-Premises SharePoint Server (nicht SharePoint Online): SharePoint Server 2016, 2019 und Subscription Edition.

Microsoft hat zwar Sicherheitsupdates veröffentlicht, die die Schwachstelle vollständig schließen – allerdings nur für SharePoint Server 2019 und Subscription Edition. Für SharePoint 2016 wird ein Update vorbereitet, hier sollte allerdings dennoch das letzte veröffentlichte Sicherheitsupdate installiert werden.

Was sollten Sie tun?

Wir empfehlen Ihnen dringend, die folgenden Maßnahmen zeitnah umzusetzen, um Ihre Umgebung vor potenziellen Angriffen zu schützen.

  1. Installieren Sie die letzten Sicherheitsupdates inkl. des Juli 2025 Sicherheitsupdates:
    • Update für SharePoint Subscription Edition (KB5002751 und KB5002768)
    • Update für SharePoint Server 2019 (KB5002741 und KB5002754)
    • Update für SharePoint Server 2016 (KB5002744)
  2. Aktivieren Sie AMSI (Antimalware Scan Interface) und stellen Sie sicher, dass Microsoft Defender Antivirus korrekt konfiguriert ist.
  3. Rotieren Sie die ASP.NET Machine Keys und starten Sie den IIS-Dienst neu.
  4. Setzen Sie Microsoft Defender for Endpoint oder eine vergleichbare Lösung zur Bedrohungserkennung ein.
  5. Überwachen Sie Ihre Systeme aktiv auf Anzeichen einer Kompromittierung, z. B.:
    • POST-Anfragen an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    • Dateien wie spinstall0.aspx im Layout-Verzeichnis
    • Verdächtige PowerShell-Prozesse durch w3wp.exe
  6. Blockieren Sie bekannte IP-Adressen (z. B. 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147) in Ihrer Firewall

Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen selbstverständlich zur Verfügung.

Referenzen:

[1] Customer guidance for SharePoint vulnerability CVE-2025-53770
[2] Security Update Guide – Microsoft Security Response Center
[3] Security Update Guide – Microsoft Security Response Center

Mitarbeiterportrait: Dirk Theisen, Sales Manager Modern Collaboration

Ihr Ansprechpartner : Dirk Theisen

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • Event Köln | DIGITAL X Focus Edition AI

    Treffen Sie ORBIT am 10. September in Köln bei der Digital X. Wir sind vor Ort und freuen uns auf Ihren Besuch!

    Messe Köln
    Zur Veranstaltung

  • Online-Seminar | KI in der Produktion – Quick Wins für KMU

    News aus dem Maschinenraum: KI-Experte Hermann del Campo zeigt, was KI in Produktionsunternehmen leistet, und präsentiert 4 machbare Use Cases.

    Online
    Zur Veranstaltung

  • Online-Seminar | Device-as-a-Service: IT-Abteilungen erfolgreich entlasten

    Weniger Hardware-Stress, mehr Fokus aufs Wesentliche: Erfahren Sie im Webinar, wie DaaS Ihre IT flexibler und planbarer macht.

    Online
    Zur Veranstaltung

  • SOC-Tour mit Arctic Wolf: Einblick ins Security Operations Center | Messeturm Frankfurt

    Sie möchten Ihr Unternehmen professionell gegen Cyber-Bedrohungen schützen, ohne eigene Ressourcen in ein teures und komplexes SOC zu investieren? Dann sind Sie auf unserer exklusiven SOC-Tour genau richtig!

    Arctic Wolf Networks GmbH Messeturm | Friedrich-Ebert-Anlage 49 | 60308 Frankfurt am Main
    Zur Veranstaltung