Microsofts Sharepoint-Lücken: Die Zero-Days, die vielleicht gar keine waren
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Die als Zero-Day-Angriffe gemeldeten Angriffe auf Sharepoint waren vielleicht gar keine echten Zero-Days. Vielmehr richteten sie sich gegen bereits bekannte Schwachstellen, für die Microsoft zuvor am 8. Juli einen Patch veröffentlicht hatte. Ob deren Installation allerdings gegen die Angriffe geschützt hätte, bleibt weiter offen.
Doch der Reihe nach: Zum monatlichen Patchday, am 8. Juli, veröffentlichte Microsoft Patches zu zwei Lücken in on-premises-Installationen von MS Sharepoint, die die Lücken CVE-2025-49706 + CVE-2025-49704 schließen sollten. Am 19. Juli vermeldete Microsoft unter der Überschrift „Kundenhinweise zur SharePoint-Schwachstelle CVE-2025-53770“ aktive Angriffe auf Sharepoint, gegen die dann etwas später die neuen Patches gegen Lücken mit dem Bezeichner CVE-2025-53770 und CVE-2025-53771 veröffentlicht wurden. Fortan ging alle Welt und auch heise online davon aus, dass es Zero-Day-Angriffe gegen die neuen 53770*-Lücken gab.
Mangelhafte Patches
Nun stellt sich heraus, dass die Angriffe ab dem 17. Juli sich gegen die Patchday-Lücken CVE-2025-49706 und CVE-2025-49704 richteten, wie etwa eye Security einräumt. Allerdings ergaben genauere Untersuchungen der Patchday-Updates, dass Microsofts Sicherheitsflicken sehr stümperhaft gemacht waren und sich trivial umgehen ließen. So demonstrierte Kaspersky, dass man den Patch gegen CVE-2025-49706 durch das einfache Einfügen eines / in eine URL umgehen konnte.
So einfach ließ sich Microsofts Patch umgehen: das zusätzliche „/“ löste den Fehler CVE-2025-49706 trotz Patch wieder aus
(Bild: Kaspersky)
Microsoft sagt auch an keiner Stelle, dass nur ungepatchte Systeme den Angriffen zum Opfer gefallen wären. Die Firma räumt sogar selbst ein: „Microsoft sind aktive Angriffe bekannt, die […] Sicherheitslücken ausnutzen, die teilweise durch das Sicherheitsupdate vom Juli behoben wurden.“ (Hervorhebung durch die Redaktion). Es ist also nach aktuellem Kenntnisstand möglich, dass die Angriffe sich zwar gegen die 4970*er-Lücken richteten, aber bereits etwas wie den zusätzlichen / enthielten, um die Patches wirkungslos zu machen.
Neue Patches nach Angriffen
Jedenfalls schob Microsoft ab dem 20. Juli verbesserte Updates nach, die die Lücken nachhaltiger schließen. Statt bösartige URLs zu filtern, was sich leicht umgehen lässt, arbeitet der Patch CVE-2025-53770 jetzt mit White-Lists erlaubter URLs. Damit schließt der Patch offenbar die Lücken CVE-2025-49706 und CVE-2025-53771. Was genau es mit diesem CVE-2025-53771 genau auf sich hat, ist allerdings nach wie vor unklar. Denn Microsoft liefert lediglich sehr vage Schwachstellenbeschreibungen. Ähnliches gilt analog auch für CVE-2025-53770.
Sollten die Angriffswellen ab dem 17. Juli auch gegen Systeme auf aktuellem Patch-Stand funktioniert haben, wären das nach wie vor Zero-Day-Attacken gewesen. Denn die betroffenen Microsoft-Kunden hatten keine Chance, sich effektiv zu schützen. Dieser Unterschied hat auch jenseits der Wortklauberei ganz praktische Bedeutung: Denn in diesem Fall müssten alle Microsoft-Kunden davon ausgehen, dass ihr Server möglicherweise kompromittiert wurde, auch wenn die verfügbaren Patches alle bereits eingespielt waren. Und das hat massive Konsequenzen für die damit anstehenden Maßnahmen.
Das Wichtigste kompakt
Wer jetzt bei den vielen CVEs und Updates den Überblick verloren hat und nicht mehr weiß, was Sache ist, befindet sich in guter Gesellschaft. Das Ganze ist ein schrecklicher Verhau von Informationsbröckchen, aus denen auch wir in stundenlangen Diskussionen kein schlüssiges Gesamtbild zusammenbauen konnten. Deshalb hier noch einmal eine Zusammenfassung der für Verteidiger wichtigen Fakten und was zu tun ist:
Microsofts Sharepoint wies mehrere kritische Lücken auf, die es erlaubten, den on-premises-Server zu kompromittieren. Um sich dagegen abzusichern, sollten Admins die Patches gegen CVE-2025-53770 und CVE-2025-53771 installieren, die alle bekannten Lücken zuverlässig schließen. Außerdem sollten sie die von Microsoft beschriebenen, vorbeugenden Maßnahmen durchführen und insbesondere den IIS-MachineKey neu erstellen. Sonst könnten Angreifer nach wie vor Zugriff auf ihren Server erlangen, weil sie den alten bereits vor dem Einspielen des Patches gestohlen haben.
Offene Fragen
Darüber hinaus wäre es überaus hilfreich, wenn sich Microsoft dazu durchringen könnte, für mehr Klarheit zu sorgen. Dazu gehören unter anderem klare Aussagen zu folgenden offenen Punkten:
Gab es erfolgreiche Angriffe gegen Systeme, die die Updates vom Patchday zeitnah bekommen hatten?
Welche Schwachstellen stehen genau hinter den jeweiligen CVEs? Am besten mit konkreten Referenzen auf den verwundbaren Code.
Warum liefert Microsoft für kritische Lücken nach einer Vorlaufzeit von fast zwei Monaten Patches aus, die sich trivial umgehen lassen?
Die Woche, in der sich die Überwachungspläne bei uns stapelten
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser*innen,
in Berlin ist zwar die Ferienzeit angebrochen. Sommerliche Ruhe will aber nicht so recht einkehren. Denn auf unseren Schreibtischen stapeln sich die neuen Gesetzesentwürfe der Bundesregierung. Und die haben’s in sich.
Beispiele gefällig?
Staatstrojaner: Künftig soll die Bundespolizei zur „Gefahrenabwehr“ Personen präventiv hacken und überwachen dürfen, auch wenn „noch kein Tatverdacht begründet ist“.
Biometrische Überwachung: Bundeskriminalamt, Bundespolizei und das Bundesamt für Migration und Flüchtlinge sollen Personen anhand biometrischer Daten im Internet suchen dürfen. Auch Gesichter-Suchmaschinen wie Clearview AI oder PimEyes können sie dann nutzen.
Palantir: Bundeskriminalamt und Bundespolizei sollen Datenbestände zusammenführen und automatisiert analysieren dürfen. Das riecht gewaltig nach Palantir – was das Innenministerium in dieser Woche bestätigt hat.
Auch in vielen Bundesländern wird über Palantir diskutiert. In Baden-Württemberg sind die Grünen soeben umgekippt. Keine gewagte Prognose: Andere werden ihre Vorsätze auch noch über Bord werfen.
Die gute Nachricht: In allen drei Bundesländern, die Palantir einsetzen – Bayern, Hessen und Nordrhein-Westfalen -, sind jeweils Verfassungsbeschwerden gegen die Polizeigesetze anhängig. Und auch die Überwachungspläne der Bundesregierung verstoßen ziemlich sicher gegen Grundgesetz und EU-Recht. Wir bleiben dran.
Martin, Sebastian und Chris im Studio. – CC-BY-NC-SA 4.0 netzpolitik.org
Diese Recherche hat für enorm viel Aufsehen gesorgt: Über Monate hinweg hat sich Martin damit beschäftigt, wie Polizeibehörden, Banken und Unternehmen unser Bargeld verfolgen und was sie über die Geldströme wissen. Die Ergebnisse überraschten auch uns, denn sie räumen mit gängigen Vorstellungen über das vermeintlich anonyme Zahlungsmittel auf. Die Aufregung um diese Recherche rührt vielleicht auch daher, dass Behörden nicht gerne darüber sprechen, wie sie Bargeld tracken. Martin selbst spricht von einer der zähsten Recherchen seines Arbeitslebens.
Außerdem erfahrt ihr, wie wir solche Beiträge auf Sendung-mit-der-Maus-Niveau bringen und warum man aus technischen Gründen besser Münzen als Scheine rauben sollte. Wir sprechen darüber, wie wir trotz schlechter Nachrichten zuversichtlich bleiben und warum wir weitere Wände im Büro einziehen. Viel Spaß beim Zuhören!
Und falls wir es in dieser Podcast-Folge noch nicht oft genug erwähnt haben sollten: Wir freuen uns über Feedback, zum Beispiel per Mail an podcast@netzpolitik.org oder in den Ergänzungen auf unserer Website.
In dieser Folge: Martin Schwarzbeck, Sebastian Meineck und Chris Köver. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Sicherheitsupdates: IBM Db2 über verschiedene Wege angreifbar
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.
Schadcode-Schlupfloch
Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.
Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.
Weitere Gefahren
Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):
