Microsoft: Angriffe auf neue Sharepoint-Lücke – bislang kein Patch verfügbar

Auf Social Media und anderen Kanälen warnt Microsofts Sicherheitsteam vor einer neuen Lücke in Sharepoint On-Prem. Man wisse bereits von Kunden-Servern, die darüber attackiert wurden. Patch gibt es noch keinen; dafür erklärt Microsoft, man könne und solle sich mit „Microsoft Defender Antivirus“ schützen.

Bei der aktuellen Sicherheitslücke mit dem Bezeichner CVE-2025-53770 handelt es sich offenbar um eine Variante des Problems CVE-2025-49706, das Microsoft erst am 8. Juli mit einem Security-Update adressierte. Es beruht auf einer fehlerhaften Deserialisierung von Daten. Ersten Gerüchten auf X zufolge können Angreifer darüber den sogenannten MachineKey des Servers stehlen und sich damit das Ausführen von Code auf dem Server ermöglichen. Damit wäre die Lücke in der obersten Kategorie anzusiedeln; die europäische ENISA bewertet den zugehörigen EUVD-2025-21981 mit dem CVSS-Rating 9,8 (kritisch).

Antivirus zur Rettung

Microsoft empfiehlt in Kundenhinweisen zur SharePoint-Schwachstelle CVE-2025-53770, zum Schutz das neue Antimalware Scan-Interface AMSI zu aktivieren und dann den hauseigenen Virenjäger Defender AV auf allen Servern zu installieren. Das ist eine überaus unbefriedigende Situation, da nicht einmal klar ist, ob und wie das bereits installierte Security-Software beeinflusst. Doch andere Schutzmaßnahmen nennt Microsoft nicht; uns sind bisher auch keine alternativen Mitigations bekannt. Wenn sich da etwas Neues ergibt, werden wir das hier nachtragen.

Betroffen sind offenbar ausschließlich On-Prem-Installationen von Microsoft Sharepoint; SharePoint Online in Microsoft 365 ist laut Microsoft nicht anfällig. Weitere Erklärungen, wie das kommt, gibt Microsoft nicht. Details zu den bisherigen Angriffen über diese Lücke nennt Microsoft ebenfalls nicht, gibt jedoch rudimentäre Tipps, wie man infizierte Server identifizieren kann. Offenbar kam bei den Angriffen eine Datei namens "spinstall0.aspx" zum Einsatz.

Die Situation um diese Sicherheitslücke dürfte sich in den nächsten Stunden und Tagen ständig weiterentwickeln. Wir werden diese Entwicklung beobachten und weiter berichten. Mitglieder von heise security PRO können ihre Erfahrungen mit Mitigations auch hier im PRO-Forum diskutieren.

(ju)