Zero-Day-Attacke auf Microsoft SharePoint – über 400 Organisationen betroffen!
Eine massive Angriffswelle erschüttert aktuell die IT-Sicherheitswelt: Mehr als 400 Unternehmen und Organisationen weltweit wurden durch eine kritische Zero-Day-Lücke in Microsoft SharePoint kompromittiert. Betroffen sind auch Regierungsbehörden wie die US-amerikanische National Nuclear Security Administration, kurz NNSA.
Der Exploit betrifft die Schwachstelle CVE-2025-53770 in selbstgehosteten SharePoint-Systemen. Darüber können Angreifer aus der Ferne beliebigen Code ausführen und sich potenziell weitreichenden Zugriff auf interne Daten und Netzwerke verschaffen.
Was ist passiert?
Die niederländische Sicherheitsfirma Eye Security entdeckte die Schwachstelle und identifizierte über Internet-Scans Hunderte betroffene Systeme. Seitdem ist die Zahl der kompromittierten Server stark gestiegen.
Laut Google und Microsoft stehen mehrere staatlich unterstützte Hackergruppen aus China hinter den Angriffen. Die Aktivitäten reichen von Cyberspionage bis hin zu Ransomware-Angriffen durch Gruppen wie LockBit und Warlock.
Das zeigt, wie professionell und vielseitig solche Angriffskampagnen inzwischen aufgebaut sind.
Der Patch kam zu spät und war zunächst unvollständig
Microsoft veröffentlichte am 8. Juli ein Sicherheitsupdate. Kurz darauf stellte sich jedoch heraus, dass der Patch die Schwachstelle nicht vollständig behob.
Dadurch blieben Tausende Systeme weiterhin verwundbar. Sicherheitsforscher gehen von bis zu 9.000 öffentlich erreichbaren und potenziell gefährdeten Systemen aus.
Besonders kritisch: Die Angriffe begannen offenbar bereits am 7. Juli und damit vor der öffentlichen Bekanntgabe der Schwachstelle. Es handelt sich daher um ein klassisches Zero-Day-Szenario.
Wer ist betroffen?
Neben US-amerikanischen Behörden wurden auch mehrere europäische Unternehmen, Behörden und Betreiber kritischer Infrastrukturen kompromittiert.
Das US-Energieministerium spricht zwar von einer minimalen Auswirkung. Das tatsächliche Schadenspotenzial bleibt jedoch erheblich, insbesondere wenn Angreifer bereits über einen längeren Zeitraum Zugriff auf interne Netzwerke hatten.
Was ihr jetzt tun solltet
Prüft eure SharePoint-Systeme
Überprüft sofort, ob ihr selbstgehostete SharePoint-Systeme einsetzt und ob Anzeichen für eine Kompromittierung vorliegen.
Installiert die aktuellen Sicherheitsupdates
Spielt die neuesten von Microsoft bereitgestellten Patches ein und prüft anschließend, ob die Installation vollständig und erfolgreich durchgeführt wurde.
Verlasst euch nicht ausschließlich darauf, dass ein Update automatisch oder fehlerfrei installiert wurde.
Führt Schwachstellen-Scans und Penetrationstests durch
Externe Schwachstellen-Scans und Penetrationstests helfen euch dabei, offene Angriffspunkte und mögliche Spuren eines bereits erfolgten Angriffs zu identifizieren.
Aktiviert ein Darkwebmonitoring
Prüft, ob Zugangsdaten, interne Dokumente oder andere Informationen aus eurem Unternehmen bereits im Dark Web angeboten oder veröffentlicht werden.
Ein frühzeitiges Monitoring kann euch entscheidende Hinweise auf einen möglichen Datenabfluss liefern.
Aktiviert euren Incident-Response-Plan
Wenn ein Verdacht auf eine Kompromittierung besteht, solltet ihr euren Incident-Response-Plan umgehend aktivieren.
Dazu gehören insbesondere:
- die Isolierung betroffener Systeme,
- die Sicherung relevanter Protokolle und Beweismittel,
- eine forensische Untersuchung,
- die Prüfung möglicher Datenabflüsse,
- die Änderung kompromittierter Zugangsdaten,
- die Bewertung möglicher Meldepflichten,
- die kontrollierte Wiederherstellung der Systeme.
Unser Fazit
Dieser Fall zeigt erneut, wie gefährlich selbstgehostete Systeme ohne aktives Schwachstellenmanagement sein können.
Es reicht nicht aus, Sicherheitsupdates lediglich einzuspielen. Awareness, kontinuierliches Monitoring und technische Detektion müssen auf allen Ebenen mitgedacht werden.
Wer hier zögert, riskiert nicht nur einen Abfluss sensibler Daten, sondern im schlimmsten Fall auch Ransomware-Angriffe, erhebliche finanzielle Schäden und einen vollständigen Betriebsstillstand.
Ihr möchtet wissen, wie ihr euer Unternehmen gegen solche Bedrohungen resilient aufstellen könnt?
Wir begleiten euch mit einem ganzheitlichen Security-Konzept – organisatorisch, technisch und menschlich.
Nehmt hier Kontakt mit uns auf.
Lasst uns über eure Anforderungen sprechen.
Avallon ist euer zentraler Ansprechpartner für Datenschutz, Informationssicherheit und Compliance. Die Umsetzung erfolgt durch spezialisierte Unternehmen innerhalb unserer Gruppe. Jedes mit klarem fachlichem Fokus und operativer Expertise.