Startseite Blog

Kritische Sicherheitslücke in SharePoint Server

Aktuell gibt es in Microsoft SharePoint Server eine Sicherheitslücke (CVE-2025-53770), die aktiv ausgenutzt wird.

Handeln Sie und schließen Sie die Sicherheitslücke in SharePoint Server

Die Schwachstelle wird unter dem Namen „ToolShell“ geführt und ist eine Variante der bereits bekannten CVE-2025-49706. Sie erlaubt Angreifern vollständigen, unauthentifizierten Remote-Zugriff auf SharePoint-Inhalte sowie Konfigurationen und beliebigen Code auszuführen.

Welche Systeme sind betroffen?

Betroffen sind nur On-Premises SharePoint Server (nicht SharePoint Online): SharePoint Server 2016, 2019 und Subscription Edition.

Microsoft hat zwar Sicherheitsupdates veröffentlicht, die die Schwachstelle vollständig schließen – allerdings nur für SharePoint Server 2019 und Subscription Edition. Für SharePoint 2016 wird ein Update vorbereitet, hier sollte allerdings dennoch das letzte veröffentlichte Sicherheitsupdate installiert werden.

Was sollten Sie tun?

Wir empfehlen Ihnen dringend, die folgenden Maßnahmen zeitnah umzusetzen, um Ihre Umgebung vor potenziellen Angriffen zu schützen.

  1. Installieren Sie die letzten Sicherheitsupdates inkl. des Juli 2025 Sicherheitsupdates:
    • Update für SharePoint Subscription Edition (KB5002751 und KB5002768)
    • Update für SharePoint Server 2019 (KB5002741 und KB5002754)
    • Update für SharePoint Server 2016 (KB5002744)
  2. Aktivieren Sie AMSI (Antimalware Scan Interface) und stellen Sie sicher, dass Microsoft Defender Antivirus korrekt konfiguriert ist.
  3. Rotieren Sie die ASP.NET Machine Keys und starten Sie den IIS-Dienst neu.
  4. Setzen Sie Microsoft Defender for Endpoint oder eine vergleichbare Lösung zur Bedrohungserkennung ein.
  5. Überwachen Sie Ihre Systeme aktiv auf Anzeichen einer Kompromittierung, z. B.:
    • POST-Anfragen an /_layouts/15/ToolPane.aspx?DisplayMode=Edit
    • Dateien wie spinstall0.aspx im Layout-Verzeichnis
    • Verdächtige PowerShell-Prozesse durch w3wp.exe
  6. Blockieren Sie bekannte IP-Adressen (z. B. 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147) in Ihrer Firewall

Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen selbstverständlich zur Verfügung.

Referenzen:

[1] Customer guidance for SharePoint vulnerability CVE-2025-53770
[2] Security Update Guide – Microsoft Security Response Center
[3] Security Update Guide – Microsoft Security Response Center

Mitarbeiterportrait: Dirk Theisen, Sales Manager Modern Collaboration

Ihr Ansprechpartner : Dirk Theisen

Aktuelle Beiträge

Zur Newsübersicht

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | Wie KI Ihren Vertrieb transparent macht

    Schluss mit "Bauchgefühl" und einer Pipeline voller „Zombie-Deals“, die Zeit kosten, aber nicht konvertieren. Das Online-Seminar zeigt, wie Sie "heiße Luft" treffsicher entlarven und in messbare €-Effekte verwandeln.

    Online
    Zur Veranstaltung

  • Online-Seminar | Mobil im Außendienst: offline arbeiten, live dokumentieren

    Techniker im Außendienst optimal unterstützen und zugleich die Kundenzufriedenheit steigern – erleben Sie, wie dieses Kunststück gelingt: mit der Entwicklung einer mobilen App als Element einer integrierten CRM-Lösung.

    Online
    Zur Veranstaltung

  • SOC-Tour mit Arctic Wolf: Einblick ins Security Operations Center | Messeturm Frankfurt

    Sie möchten Ihr Unternehmen professionell gegen Cyber-Bedrohungen schützen, ohne eigene Ressourcen in ein teures und komplexes SOC zu investieren? Dann sind Sie auf unserer exklusiven SOC-Tour genau richtig!

    Arctic Wolf Networks GmbH Messeturm | Friedrich-Ebert-Anlage 49 | 60308 Frankfurt am Main
    Zur Veranstaltung