Startseite Blog

Kritische Sicherheitslücke in SharePoint Server

Aktuell gibt es in Microsoft SharePoint Server eine Sicherheitslücke (CVE-2025-53770), die aktiv ausgenutzt wird.

Handeln Sie und schließen Sie die Sicherheitslücke in SharePoint Server

Die Schwachstelle wird unter dem Namen „ToolShell“ geführt und ist eine Variante der bereits bekannten CVE-2025-49706. Sie erlaubt Angreifern vollständigen, unauthentifizierten Remote-Zugriff auf SharePoint-Inhalte sowie Konfigurationen und beliebigen Code auszuführen.

Welche Systeme sind betroffen?

Betroffen sind nur On-Premises SharePoint Server (nicht SharePoint Online): SharePoint Server 2016, 2019 und Subscription Edition.

Microsoft hat zwar Sicherheitsupdates veröffentlicht, die die Schwachstelle vollständig schließen – allerdings nur für SharePoint Server 2019 und Subscription Edition. Für SharePoint 2016 wird ein Update vorbereitet, hier sollte allerdings dennoch das letzte veröffentlichte Sicherheitsupdate installiert werden.

Was sollten Sie tun?

Wir empfehlen Ihnen dringend, die folgenden Maßnahmen zeitnah umzusetzen, um Ihre Umgebung vor potenziellen Angriffen zu schützen.

  1. Installieren Sie die letzten Sicherheitsupdates inkl. des Juli 2025 Sicherheitsupdates:
    • Update für SharePoint Subscription Edition (KB5002751 und KB5002768)
    • Update für SharePoint Server 2019 (KB5002741 und KB5002754)
    • Update für SharePoint Server 2016 (KB5002744)
  2. Aktivieren Sie AMSI (Antimalware Scan Interface) und stellen Sie sicher, dass Microsoft Defender Antivirus korrekt konfiguriert ist.
  3. Rotieren Sie die ASP.NET Machine Keys und starten Sie den IIS-Dienst neu.
  4. Setzen Sie Microsoft Defender for Endpoint oder eine vergleichbare Lösung zur Bedrohungserkennung ein.
  5. Überwachen Sie Ihre Systeme aktiv auf Anzeichen einer Kompromittierung, z. B.:
    • POST-Anfragen an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    • Dateien wie spinstall0.aspx im Layout-Verzeichnis
    • Verdächtige PowerShell-Prozesse durch w3wp.exe
  6. Blockieren Sie bekannte IP-Adressen (z. B. 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147) in Ihrer Firewall

Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen selbstverständlich zur Verfügung.

Referenzen:

[1] Customer guidance for SharePoint vulnerability CVE-2025-53770
[2] Security Update Guide – Microsoft Security Response Center
[3] Security Update Guide – Microsoft Security Response Center

Mitarbeiterportrait: Dirk Theisen, Sales Manager Modern Collaboration

Ihr Ansprechpartner : Dirk Theisen

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • Strategietage 2025 CRM & Contact Center

    Treffen Sie ORBIT am 19. & 20.11. in Hamburg. Wir sind vor Ort – als Aussteller und mit einer Masterclass von Ralf Selzer. Wir freuen uns auf Ihren Besuch!

    Grandhotel Schloss Bensberg | Kadettenstraße 51 | 51429 Bergisch Gladbach
    Zur Veranstaltung

  • Strategic Executive Community

    KI verändert nicht nur Chancen, sondern auch Risiken. In der Strategic Executive Community diskutieren Entscheider*innen, wie Konzernsicherheit im KI-Zeitalter neu gedacht werden muss – exklusiv, praxisnah, zukunftsweisend.

    Headquarter Telekom Deutschland | Landgrabenweg 149 | 53227 Bonn
    Zur Veranstaltung

  • Online-Seminar | KI-Agent bauen – in 60 Minuten

    Hermann del Campo zeigt live, wie Sie in nur 60 Minuten Ihren eigenen KI-Agenten bauen – Schritt für Schritt, hands-on, ohne Vorkenntnisse.

    Online
    Zur Veranstaltung