Update: Neue Version von Sharepoint 2016 behebt Toolshell-Lücke

Für die kritische Sicherheitslücke CVE-2025-53770 mit dem Spitznamen „Toolshell“ gibt es nun weitere Patches. Microsoft veröffentlichte eine Aktualisierung für SharePoint Enterprise Server 2016 sowie für die englischen Sprachpacks dieser und der 2019er-Edition. Damit sind alle aktuell unterstützten SharePoint-Versionen geflickt – was bitter nötig war: Groß angelegte Angriffskampagnen laufen bereits seit Tagen.

Das Microsoft Security Response Center (MSRC) pflegt einen ausführlichen Überblicksartikel zur Toolshell-Lücke und kündigte dort am Montag die Sicherheitsaktualisierungen an. Die folgenden Updates sind jetzt über Microsoft Update, den Microsoft Update-Katalog oder das Microsoft Download Center erhältlich.

Der Satz gerinnt beinahe zur Floskel, dennoch: Administratoren von „on-premises“, also im Unternehmen betriebenen SharePoint-Servern sollten die Aktualisierungen zügig einspielen. Angriffskampagnen laufen bereits und Berichten zufolge sind über 100 Organisationen kompromittiert.

Schlüssel rotieren, Server im Auge behalten

Doch mit dem Update ist es nicht getan, denn der SharePoint-Server könnte bereits erfolgreich von Angreifern übernommen worden sein. Daher drängt Microsoft auf zusätzliche Maßnahmen:

1. Der Antimalware-Scan (AMSI) in SharePoint sollte angeschaltet und, wenn möglich, der „Full Mode“ zur vollständigen Überprüfung von HTTP-Anfragen aktiviert sein.
2. Microsoft Defender vor Endpoint und Microsoft Defender Antivirus helfen mit spezialisierten Signaturen wie „Exploit:Script/SuspSignoutReq.A“ ebenfalls bei der Erkennung und Beseitigung.
3. Die „Machine Keys“ sollten unbedingt ausgetauscht werden – ansonsten können Angreifer womöglich dauerhaft ihren Schadcode auf dem SharePoint-Server ausführen. Microsoft hat dafür zusätzliche Tipps in seinem Sicherheitshinweis veröffentlicht.

Eine umfangreiche Liste mit „Indicators of Compromise“, also Hinweisen auf einen erfolgreichen Angriff, pflegt das Sicherheitsunternehmen Eye Security in seinem Blogartikel zu der Toolshell-Lücke. So sollten Systemverwalter nicht nur verdächtige Dateinamen, sondern auch bestimmte HTTP-Anfragen (wie etwa POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx)und -User-Agents im Auge behalten. Der Sicherheitsforscher Florian Roth weist zudem darauf hin, dass diese Indikatoren sich bei der nächsten Angriffswelle ändern könnten.

Ältere Lücken nicht vollständig gepatcht

Die Sicherheitslücke „Toolshell“ ist eine Variante zweier kurz zuvor gepatchter Lücken aus dem Sicherheitswettbewerb „Pwn2Own“, der dieses Jahr in Berlin stattfand. Microsoft gibt in den FAQ zu CVE-2025-53770 zu, bei der Behebung dieser Lücken (CVE-2025-49704 und CVE-2025-49706) nicht gründlich genug gearbeitet zu haben: „Ja, das Update [für die neuere der Lücken] enthält robustere Schutzmaßnahmen als das Update für [die jeweils ältere Lücke]“, heißt es beim MSRC.

(cku)