Die Ausnutzung einer kritischen Sicherheitslücke in Microsoft SharePoint gehörte zu den größten Cybervorfällen des Jahres 2025. Über eine bis dahin unbekannte Schwachstelle, eine so genannte Zero-Day-Lücke, konnten Angreifer weltweit hunderte Organisationen kompromittieren, darunter Unternehmen, Universitäten und Behörden. Wie sich später herausstellte, war es offenbar der chinesische Geheimdienst, der die Gelegenheit zur Spionage nutzte.

Entdeckt wurde die Angriffswelle ausgerechnet von einer Studentin: von der niederländischen Security-Analystin Ilse Versluis. Sie hatte Bereitschaftsdienst an einem Freitagabend im Juli 2025 im Security Operations Center des Sicherheitsanbieters Eye Security, ein Job, den sie parallel zum Studium absolvierte. Im c’t-Podcast „They Talk Tech“ spricht sie nun erstmals öffentlich darüber, was ihr an jenem Freitagabend auffiel, wie sie die ersten Spuren aufdeckte und wie ihr Team den Angriff schließlich analysierte und versuchte, die Welt in Echtzeit zu informieren. Denn die Lücke wurde bereits in großem Stil ausgenutzt, jede Minute zählte.

In der aktuellen Folge rekonstruieren die Hosts Eva Wolfangel und Svea Eckert gemeinsam mit Versluis die entscheidenden Stunden, als eine Warnmeldung zu einem verdächtigen PowerShell-Kommando auf einem SharePoint-Server einging, den das Unternehmen betreute.

Eine Warnmeldung wie viele andere?

Die Warnmeldung habe zunächst ausgesehen wie viele ihrer Art. In einem Bereitschaftsdienst in einem Security Operations Center besteht die Kunst darin, im richtigen Moment hellhörig zu werden. Aber auch als Versluis die ersten Ungereimtheiten auffielen, ahnte sie nicht, dass sie an diesem Freitagabend auf dem Sofa den chinesischen Staatshacker in den Netzen ihres Kunden in flagranti erwischt hatte. „Das Skript war verschleiert“, erzählt sie im Podcast, „das machen typischerweise Angreifer.“

Sie analysierte genauer, was hier gerade vor sich ging und stellte fest, dass das Skript versuchte, sogenannte Machine Keys auszulesen. Diese kryptografischen Schlüssel bilden die Grundlage für die Authentifizierung in Webanwendungen. Wer sie besitzt, kann im Prinzip gültige Login-Tokens erzeugen. „Das ist im Grunde die Vertrauensbasis eines Servers“, erklärt Versluis. Und das auf einem Sharepoint-Server, auf dem potenziell jede Menge sensible und vertrauliche Daten liegen! Sie rief ihre Kollegen zurück aus dem Wochenende.

Und es zeigten sich weitere Auffälligkeiten: In den Serverlogs fand sich eine verdächtige .aspx-Datei, die offenbar als Webshell diente – also als Hintertür, über die Angreifer aus der Ferne Befehle ausführen können. Noch merkwürdiger war ein Detail in den HTTP-Headern der Anfragen: Als Herkunftsseite war die SharePoint-Logout-Seite angegeben. Mit anderen Worten: Jemand, der sich gerade abgemeldet hatte, schrieb gleichzeitig Dateien auf den Server. „Das dürfte eigentlich nicht möglich sein“, sagt Versluis. Irgendjemand umging hier die Authentifizierung komplett.

Was dahintersteckte

Natürlich habe sie nicht mit einer Zero-Day-Lücke gerechnet, sagt Versluis. Das war einfach zu unwahrscheinlich, schließlich entdeckt man nicht alle Tage eine bis dato unbekannte Sicherheitslücke. Erst einige Stunden später sollte klar werden, dass es sich bei weitem nicht um einen einzelnen kompromittierten Server handelte.

Das Team von Eye Security begann daraufhin, weltweit nach verwundbaren SharePoint-Systemen zu suchen. Mehr als 23.000 Server identifizierten die Forscher im Internet, mehr als 400 Organisationen weltweit waren bereits kompromittiert. Microsoft ordnete die Kampagne später staatlich unterstützten chinesischen Hackergruppen zu.

Im Podcast ordnen Wolfangel und Eckert auch den technischen Hintergrund der Lücke ein und mögliche Versäumnisse von Microsoft selbst. Bereits im Mai 2025 hatte ein Sicherheitsforscher auf der Hackerkonferenz Pwn2Own eine verwandte Schwachstelle in SharePoint demonstriert. Microsoft veröffentlichte daraufhin einen Patch, der aber offenbar nicht vollständig war. Das entdeckten nicht nur Sicherheitsforscher, die daraufhin teilweise in den sozialen Netzwerken warnten, dass die Lücke weiterhin ausnutzbar war – sondern offenbar auch die chinesischen Angreifer.

Ein surreales Erlebnis

Wie diese letztlich auf die Idee kamen, rund um die bereits gepatchte Lücke weiter zu suchen, oder ob sie gar an Informationen aus dem Hackercontest gelangt waren, ist bis heute unklar. Der Fall zeigt damit auch ein grundlegendes Dilemma der IT-Sicherheitsforschung: Schwachstellen müssen öffentlich gemacht werden, damit sie geschlossen werden können. Gleichzeitig können veröffentlichte Details oder unvollständige Patches Angreifern Hinweise liefern, wo es sich lohnen könnte, weiter zu suchen.

„Das ausgerechnet ich einen staatlichen Cyberangriff entdecke, das klingt immer noch surreal“, sagt Versluis rückblickend. Schließlich sei sie mehr oder weniger zufällig in der IT-Sicherheit gelandet – nachdem sie lange gedacht hatte, dass sie dort eigentlich nicht hineinpasse. Aber Cybersecurity sei ein Feld, in dem sehr unterschiedliche Fähigkeiten gebraucht würden. „Man muss nicht unbedingt der Hardcore-Hacker sein“, sagt sie. Wichtig sei eher analytisches Denken, „und die Fähigkeit, Dinge miteinander zu verbinden.“ Und natürlich Neugier. Denn Angreifer entwickeln ständig neue Methoden. „Man hört nie auf, zu lernen.“

„They Talk Tech“ erscheint jeden Mittwoch überall, wo es Podcasts gibt. Svea Eckert und Eva Wolfangel diskutieren ein Tech-Thema oder treffen inspirierende Frauen aus und rund um die Tech-Welt.

(mond)