Microsoft bestätigt Versagen beim Patchen der SharePoint-Sicherheitslücke

Ein Sicherheitspatch, den Microsoft Anfang des Monats veröffentlichte, hat die kritische Schwachstelle in der SharePoint-Server-Software nicht behoben. Die Lücke wurde bereits im Mai bei einem Hacking-Wettbewerb entdeckt und führte zu globaler Cyberspionage.

Ein Microsoft-Sprecher bestätigte am Dienstag, dass der erste Patch nicht funktionierte. Er fügte hinzu, dass Microsoft inzwischen weitere Patches veröffentlicht hat, die das Problem beheben. Am Wochenende wurden rund 100 Organisationen angegriffen.

Experten rechnen damit, dass Tausende weitere betroffen sein könnten, sobald andere Hacker nachziehen.

Microsoft berichtete in einem Blogbeitrag, dass zwei mutmaßlich chinesische Hackergruppen mit den Bezeichnungen "Linen Typhoon" und "Violet Typhoon" die Schwachstellen ausnutzen, gemeinsam mit mindestens einer weiteren Gruppe aus China.

Charles Carmakal, CTO bei Google Clouds Mandiant Consulting, bestätigte dies ebenfalls in einer ersten Einschätzung: Mindestens einer der Akteure hinter den frühen Angriffen ist eine Hackergruppe mit Verbindungen nach China.

"Man muss damit rechnen, dass mehrere Angreifer diese Schwachstelle jetzt aktiv ausnutzen. Wir gehen fest davon aus, dass sich dieser Trend fortsetzt. Mehrere Akteure mit unterschiedlichen Motiven werden diese Lücke ebenfalls nutzen", erklärte Carmakal in einer Stellungnahme an Cybernews.

We added Microsoft SharePoint server remote code execution vulnerability CVE-2025-53770 to our Known Exploited Vulnerabilities Catalog. Visit https://t.co/myxOwap1Tf & apply mitigations to protect your org from cyberattacks. #ToolShell pic.twitter.com/Y6aNU7o1B9

undefined CISA Cyber (@CISACyber) July 20, 2025

Hacker mit Verbindungen zur chinesischen Regierung werden regelmäßig mit Cyberangriffen in Verbindung gebracht, doch Peking bestreitet routinemäßig jegliche Beteiligung. In einer Stellungnahme per E-Mail-erklärte die chinesische Botschaft in Washington, China lehne sämtliche Formen von Cyberangriffen ab und verurteile "Verleumdungen ohne stichhaltige Beweise".

SharePoint-Schwachstelle im Mai entdeckt

Die SharePoint-Lücke, die den Angriff ermöglichte, wurde erstmals im Mai bei einem Hacking-Wettbewerb in Berlin entdeckt. Organisator war die Cybersicherheitsfirma Trend Micro, die Kopfgelder für das Aufspüren von Software-Schwachstellen versprach.

Für "Zero-Day"-Exploits – so genannt, weil sie bisher unbekannte digitale Schwachstellen ausnutzen – gab es 100.000 Dollar Preisgeld. Im Fokus stand SharePoint, Microsofts wichtigste Plattform für Dokumentenverwaltung und Zusammenarbeit.

Ein Mitarbeiter der Cybersicherheit von Viettel, einem vom vietnamesischen Militär betriebenen Telekommunikationsunternehmen, entdeckte bei der Veranstaltung einen SharePoint-Bug. Er taufte ihn "ToolShell" und demonstrierte, wie die Lücke ausgenutzt werden kann.

Für seine Entdeckung erhielt der Sicherheitsforscher 100.000 Dollar, wie ein Post der "Zero Day Initiative" von Trend Micro auf X bestätigt.

In einer Stellungnahme erklärte Trend Micro, es liege in der Verantwortung der teilnehmenden Unternehmen, Sicherheitslücken "effektiv und zeitnah" zu patchen und offenzulegen. "Patches versagen gelegentlich. Das ist bei SharePoint schon früher passiert", hieß es in der Erklärung.

Kunal Agarwal, Gründer und CEO von dope.security, sagte gegenüber Cybernews, der Exploit sei ein weiteres Beispiel dafür, was passiert, wenn Unternehmen veraltete On-Premise-Systeme dem öffentlichen Internet aussetzen.

"SharePoint ist fast zwei Jahrzehnte alt, und die On-Premise-Version ist nicht gut gealtert. Es gibt massenweise moderne Cloud-Alternativen. An veralteter Infrastruktur festzuhalten ist nicht nur riskant, sondern auch unnötig", so Agarwal.

"Cyberangriffe sind heute schneller und cleverer denn je. Verkettete Exploits wie ToolShell zeigen, wie schnell technische Altlasten Tür und Tor für Missbrauch öffnen", fügte er hinzu.

Über 8.000 Server gefährdet

Microsoft gab in einem Sicherheitsupdate vom 8. Juli bekannt, den Bug identifiziert zu haben, stufte ihn als kritische Schwachstelle ein und veröffentlichte Patches zur Behebung.

Etwa zehn Tage später bemerkten Cybersicherheitsfirmen jedoch vermehrt Angriffe gegen die Software, die der Bug ausnutzen sollte: SharePoint-Server.

"Hacker entwickelten anschließend Exploits, die diese Patches offenbar umgehen", erklärte die britische Cybersicherheitsfirma Sophos am Montag in einem Blogbeitrag.

Der Pool potenzieller ToolShell-Ziele bleibt riesig. Laut Daten von Shodan, einer Suchmaschine für Geräte mit Internetverbindung, könnten theoretisch über 8.000 Online-Server bereits von Hackern kompromittiert worden sein.

Zu diesen Servern gehören große Industrieunternehmen, Banken, Wirtschaftsprüfer, Gesundheitsdienstleister sowie mehrere US-Bundesstaaten und internationale Regierungen.

Die Shadowserver Foundation, die das Internet nach potenziellen digitalen Schwachstellen durchsucht, bezifferte die Zahl auf etwas mehr als 9.000, wobei sie betont, dass dies die Mindestanzahl sei.

Die meisten Betroffenen befinden sich laut der Organisation in den USA und Deutschland, darunter auch Regierungsorganisationen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte am Dienstag mit, es habe SharePoint-Server in Regierungsnetzwerken gefunden, die für den ToolShell-Angriff anfällig seien. Kompromittiert worden sei jedoch keiner. Es handle sich um eine kritische Schwachstelle der Stufe 3 (orange).