Die aktuell beobachteten Angriffe auf SharePoint-Server nutzen eine bis 20. Juli 2025 unbekannte Lücke in lokalen Installationen von Microsoft Sharepoint aus (CVE-2025-53770). Da es bis vor Kurzem kein Update gab, mit dem man sich schützen konnte – es handelte sich um eine Zero-Day-Schwachstelle – konnten die Angreifer die verwundbaren Systeme nach Belieben übernehmen und sich dort einnisten. Dieses Problem wird auch durch das Einspielen der Patches nicht beseitigt; Angreifer könnten auch danach Zugriff auf den Sharepoint-Server und weitere Systeme haben.

Wir beschreiben, wie die Angreifer bei ihren bisherigen Angriffen vorgegangen sind, welche Spuren sie dabei hinterlassen haben und wie man die gezielt aufspüren kann, um sich Gewissheit zu verschaffen, ob das eigene Unternehmen betroffen ist. Anschließend geben wir Tipps für die gezielte Suche und Reinigung betroffener Systeme. Wer die Zusammenfassung überspringen möchte, liest direkt bei „Was Betroffene jetzt tun sollten“ weiter.

Was passiert ist

Angreifer nutzen eine Kombination mehrerer Schwachstellen aus, um ohne Authentifizierung beliebigen Code auf SharePoint-Servern auszuführen. Dabei wird über speziell präparierte HTTP-Anfragen eine ASPX-Webshell ins SharePoint-Dateisystem geschrieben, die anschließend für beliebige Befehlsausführung genutzt werden kann. Die bekannteste Kampagne nutzt eine Webshell mit dem Namen spinstall0.aspx. Daneben beschrieb Palo Alto Networks mindestens zwei weitere Exploit-Varianten – darunter Varianten mit leicht abgewandelten Namen, dem Einsatz von sleep() sowie dem Ablegen von Konfigurationsdaten in Dateien wie debug_dev.js.

Die ausgenutzte Schwachstelle betrifft ausschließlich On-Premises-Installationen von SharePoint. Cloud-basierte Varianten wie SharePoint Online (Microsoft 365) sind nicht betroffen. Warum diese nicht anfällig sind, ist derzeit nicht bekannt.

Die Lage: Viele Systeme kompromittiert

Trotz der öffentlichen Warnungen sind weiterhin hunderte verwundbare SharePoint-Systeme im Internet erreichbar. Listen mit bereits kompromittierten Systemen zirkulieren in einschlägigen Kreisen – samt der zugehörigen Webshells, die öffentlich erreichbar und benutzbar sind. Es ist davon auszugehen, dass diese Systeme eher früher als später ungebetenen Besuch bekommen.

Bisher konzentrierten sich die Angriffe offenbar auf die Sektoren Regierungen, Bildung, Gesundheitswesen und Großunternehmen. Allerdings wurden auch bereits erste Proof-of-Concepts-Exploits der Schwachstelle veröffentlicht. Mit diesen ist das Ausnutzen der Lücken auch anderen Angreifergruppen möglich. Es ist damit zu rechnen, dass insbesondere Cybercrime-Banden auf den Zug aufspringen und die Angriffe in die Fläche tragen. Unverzügliches Patchen der Server ist deshalb unverzichtbar; nicht patchbare Server sollte man vom Internet trennen.

Da die Exploits bereits veröffentlicht wurden und in den einschlägigen Kreisen weiter gereicht werden, sehen wir keinen Sinn darin, diese wichtigen Informationen den Verteidigern vorzuenthalten.

Angriffs-Indikatoren (IoCs)

Die Angriffe erfolgen über einen POST-Request auf

/_layouts/15/ToolPane.aspx

mit einem HTTP-Referer-Header

/_layouts/SignOut.aspx

Dies sind stabile Anzeichen für einen erfolgten Angriff (Indicators of Compromise), nach denen man in seinen Logfiles Ausschau halten sollte. Traten sie vor einem Patch auf, ist davon auszugehen, dass die Angreifer das System kompromittiert haben.

Kampagnen-spezifische IoCs

Die bisher beobachteten Angriffe erstellen eine Webshell namens spinstall0.aspx in einem der folgenden Pfade:

# C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\
# ...\16\TEMPLATE\LAYOUTS\`

Dies ergibt HTTP-Zugriffe auf /_layouts/15/spinstall0.aspx beim Zugriff auf diese Webshell. Dabei wird dann via w3wp.exe Powershell ausgeführt. Diese erhält Base64-kodierte Eingabebefehle, was sich im Event-Log oder Logdateien auffinden lässt. Außerdem kommt auch eine Datei namens debug_dev.js mit Base64-Inhalt zum Einsatz. Dies sind die Hash-Summen der bekannten Webshells und Skripte:

- 27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014
- 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
- 8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2
- 30955794792a7ce045660bb1e1917eef36f1d5865891b8110bf982382b305b27
- 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
- fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7

Die Angriffe gingen von folgenden IP-Adressen aus:

- 107.191.58[.]76
- 45.77.155[.]170
- 154.223.19[.]106

Nach diesen kann man in Log-Dateien etwa von Firewalls Ausschau halten. Allerdings können zukünftige Angriffe auf andere Techniken setzen, sodass diese IoCs nur beschränkt aussagekräftig sind.

Was Betroffene jetzt tun sollten

Selbst nachdem die SharePoint-Patches installiert werden, muss man davon ausgehen, dass sich Angreifer Zugriff auf das System verschaffen konnten. Bleiben Hinterlassenschaften und Modifikationen der Angreifer unbemerkt, ist damit zu rechnen, dass diese zu einem späteren erneut auf die Systeme zugreifen, um etwa Daten zu verschlüsseln und das Unternehmen zu erpressen. So geschehen etwa 2020, als Admins der Uniklinik Düsseldorf die sogenannte Shitrix-Zero-Day-Lücke in ihren Citrix-VPN-Gateways patchten, aber die zuvor bereits installierte Backdoor nicht bemerkten. Einige Zeit später wurde die Uniklinik durch einen Ransomware-Angriff lahmgelegt, bei dem die Angreifer diese Backdoor benutzten.

Es muss folglich nach dem Patchen davon ausgegangen werden, dass Systeme bereits durch Angreifer kompromittiert wurden. Um danach festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte, empfehlen wir folgende Maßnahmen:

1. Suchen nach den oben aufgeführten IoCs
2. Kompromittierungsanalyse mit geeigneten Werkzeugen wie Yara; passende Yara-Regeln stellen wir auf Github bereit. Es kann auch das kostenlose Thor Lite zum Einsatz kommen, das etwa im aktuellen Desinfec’t enthalten ist.
3. Gefundene Webshells entfernen
4. MachineKeys (ValidationKey, DecryptionKey) gemäß der Microsoft-Anleutung neu generieren
5. Zugangsdaten ändern – besonders von Dienstkonten und administrativen Benutzern
6. IIS-Logs und Event Logs auf Anzeichen weiterer Aktivitäten prüfen

Microsoft empfiehlt zum Aufspüren etwa der Webshells den eigenen Defender Antivirus. Dazu sei angemerkt, dass es bereits seit 2021 öffentlich verfügbare, generische Yara-Regeln gibt, die die in dieser Kampagne eingesetzten Webshells erkennen – lange vor Veröffentlichung der ersten Advisories. Wer regelmäßig seine exponierten Systeme mit den Open-Source-Regelwerken untersucht, hätte somit klare Hinweise auf eine Kompromittierung erhalten (anders als bei vielen Antivirus-Engines, die die Webshells zum Zeitpunkt der ersten Analysen noch nicht erkannten).

Werkzeuge zur Unterstützung

Folgende Werkzeuge helfen bei der Suche nach Spuren und Hinterlassenschaften der Angreifer:

Quellen und weitere Informationen

Bei heise security

Extern

(ju)