Sicherheitslücke in SharePoint:CVE-2025-53770 – Wie erkenne ich Angriffe?

Eine neue kritische Sicherheitslücke in Microsoft SharePoint vom 19. Juli 2025 sorgt derzeit für Aufsehen: CVE-2025-53770, oder auch ToolShell genannt, ermöglicht es Angreifern, Remote Code Execution (RCE) durchzuführen – und das ohne Authentifizierung (Anmeldung). Betroffen davon sind On-Premises-Installationen von SharePoint Server 2019 sowie 2016 und SharePoint Subscription Editionen.

Bei dieser Art der Sicherheitslücke handelt es sich um eine Schwachstelle in der Art und Weise, wie SharePoint bestimmte API-Anfragen verarbeitet. Angreifer können speziell präparierte HTTP-Anfragen senden, um beliebigen Code mit den Rechten des SharePoint-Dienstkontos auszuführen.

Dieser Beitrag fokussiert sich speziell auf die Erkennung eines solchen SharePoint Angriffes, sowie auch auf die Behebung.

Update 25.07.2025: Wir stellen ein IOC Update für CVE-2025-53770 bereit. Genauere Informationen findet man am Ende der Seite.

CVE-2025-53770 SharePoint Sicherheitslücke betroffene Versionen / behobene Versionen — CVE-2025-53770: SharePoint Sicherheitslücke betroffene Versionen / behobene Versionen

Was bedeutet die Sicherheitslücke in Sharepoint für mich?

Wenn ein Angreifer die Schwachstelle CVE-2025-53770 erfolgreich ausnutzt, kann er beliebigen Code auf dem SharePoint-Server ausführen. Der Angreifer kann somit Programme installieren, Daten lesen, verändern oder löschen und sogar weitere Schadsoftware nachladen. Besonders kritisch: In vielen Umgebungen hat das SharePoint-Dienstkonto weitreichende Berechtigungen im Netzwerk.

Wo liegen die Risiken der Sicherheitslücke?

Laterale Bewegung im Netzwerk

Ein kompromittierter SharePoint-Server kann als Sprungbrett genutzt werden, um sich weiter im Unternehmensnetzwerk auszubreiten – z. B. zu Datei-Servern, Active Directory oder anderen kritischen Systemen.

Datendiebstahl und Industriespionage

Da SharePoint oft sensible Dokumente und interne Kommunikation enthält, ist der Zugriff auf diese Daten für Angreifer besonders wertvoll – etwa für Erpressung, Spionage oder Wettbewerbsvorteile.

Manipulation von Inhalten

Ein Angreifer kann Inhalte auf SharePoint manipulieren, z. B. durch das Einfügen von bösartigen Skripten (z. B. für Phishing) oder durch das Verändern von Dokumenten, was zu Vertrauensverlust und Compliance-Verstößen führen kann.

Verdeckte Persistenz

Viele Angreifer richten sich nach dem Erstzugriff dauerhaft im System ein – etwa durch Backdoors, Zeitbomben oder versteckte Benutzerkonten. So bleibt der Angriff oft lange unentdeckt, auch wenn der SharePoint Server danach geschützt ist, kann ein Hacker weiter in Unternehmen tätig sein.

Wie erkenne ich nun erfolgreiche Angriffe?

Die Erkennung eines Angriffs über CVE-2025-53770 ist entscheidend, um schnell reagieren zu können. Da es sich um eine Remote Code Execution ohne Authentifizierung handelt, können Angreifer bei verwendung der SharePoint Sicherheitslücke unbemerkt agieren – umso wichtiger ist es, auf die richtigen Indikatoren für Kompromittierung (IoCs) zu achten. Nachfolgend findet sich eine Auflistung, was man tun muss um diesen Sharepoint Angriff zu erkennen:

🔍 Verdächtige Prozesse aufspüren

Überprüfe, ob Prozesse wie folgende vom SharePoint-Dienstkonto gestartet wurden:

powershell.exe
cmd.exe
mshta.exe
rundll32.exe

Diese Prozesse deuten oft auf nachgeladene Payloads oder Skriptausführung hin. Das kann man am Besten mit einer XDR/SIEM Lösung machen. Für unsere Bestandskunden in SentinelOne nutzen wir folgenden Query um ein unübliches Verhalten vom Sharepointserver zu erkennen:

dataSource.name = 'SentinelOne' and endpoint.os = "windows" and event.type = "Process Creation" and src.process.parent.name contains "svchost.exe" and src.process.name contains "w3wp.exe" and tgt.process.name contains "cmd.exe" and src.process.cmdline contains "SharePoint"

--------------------------------------------------------------------------

dataSource.name = 'SentinelOne' and endpoint.os = "windows" and event.type = "Process Creation" and src.process.name contains "csc.exe" and tgt.file.path contains "App_Web_spinstall0.aspx"

📄 Auffällige HTTP-Requests in den IIS-Logs suchen

Suche nach ungewöhnlichen oder häufig wiederholten Anfragen an Endpunkte wie:

/_api/
/_layouts/15/
POST-Requests mit ungewöhnlichen Headern oder Payloads
/_layouts/SignOut.aspx entspricht dem genauen Header
POST-Requests zu /_layouts/15/ToolPane.aspx?DisplayMode=Edit

Diese können auf Exploit-Versuche hinweisen. Die Logs befinden sich meist unter folgendem Pfad:

%SystemDrive%\inetpub\logs\LogFiles

🧾 Neue oder manipulierte Dateien suchen

Achte auf folgende Datein:

Neue .aspx-Dateien im Webroot
Veränderte Systemdateien
Dateien mit zufälligen Namen oder in ungewöhnlichen Verzeichnissen

👤 Unbekannte Benutzerkonten oder Rechteänderungen prüfen

Ein Angreifer könnte versuchen, sich dauerhaften Zugriff zu verschaffen. Darum sollten folgende Konten geprüft werden:

Neue Admin-Konten
Änderungen an Gruppenmitgliedschaften
Aktivierung deaktivierter Konten

🌐 Netzwerkverbindungen zu externen IPs und bekannte Hashes prüfen

Überwache ausgehenden Traffic auf:

Ungewöhnliche Ports (z. B. 8080, 8443)
Verbindungen zu bekannten Command-and-Control-Servern
DNS-Tunneling oder verschlüsselten Datenverkehr außerhalb der Norm

Folgende IP Adressen und Hashes werden für die Angriffe aktuell genutzt und gelten als IoC für die Angriffe auf die Sicherheitslücke in SharePoint:

96.9.125[.]147- Angreifer IP
107.191.58[.]76- Angreifer IP
104.238.159[.]149- Angreifer IP
103.186.30[.]186- Angreifer IP
139.144.199[.]41- Angreifer IP
89.46.223[.]88- Angreifer IP
45.77.155[.]170- Angreifer IP
154.223.19[.]106- Angreifer IP
185.197.248[.]131- Angreifer IP
149.40.50[.]15- Angreifer IP
64.176.50[.]109- Angreifer IP
149.28.124[.]70- Angreifer IP
206.166.251[.]228- Angreifer IP
95.179.158[.]42- Angreifer IP
86.48.9[.]38- Angreifer IP
128.199.240[.]182- Angreifer IP
212.125.27[.]102- Angreifer IP
91.132.95[.]60- Angreifer IP
f5b60a8ead96703080e73a1f79c3e70ff44df271 – spinstall0.aspx Webshell
fe3a3042890c1f11361368aeb2cc12647a6fdae1 – xxx.aspx Webshell
76746b48a78a3828b64924f4aedca2e4c49b6735 – App_Web_spinstall0.aspx.9c9699a8.avz5nq6f.dll (Eine Kompillierte Version der Webshell
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 – spinstall0.aspx Webshell
8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2 – spinstall0.aspx Webshell
b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93 - test.txt Datei

Folgen SentinelOne XDR Befehl nutzen wir intern, um die Angreifer aufzuspüren:

src.process.image.sha1="f5b60a8ead96703080e73a1f79c3e70ff44df271" or src.process.image.sha1="fe3a3042890c1f11361368aeb2cc12647a6fdae1" or src.process.image.sha1="76746b48a78a3828b64924f4aedca2e4c49b6735" or src.ip.address="96.9.125.147" or src.ip.address="107.191.58.76" or src.ip.address="104.238.159.149" or src.ip.address="103.186.30.186" or src.ip.address="139.144.199.41" or src.ip.address="89.46.223.88" or src.ip.address="45.77.155.170" or src.ip.address="154.223.19.106" or src.ip.address="185.197.248.131" or src.ip.address="149.40.50.15" or src.ip.address="206.166.251.228" or src.ip.address="95.179.158.42" or src.ip.address="86.48.9.38" or src.ip.address="128.199.240.182" or src.ip.address="212.125.27.102" or src.ip.address="91.132.95.60"

Was soll ich tun, wenn ich Ergebnisse erhalten?

Wenn du bei der Überprüfung der Systeme konkrete Hinweise auf eine Kompromittierung durch CVE-2025-53770 findest, ist schnelles und strukturiertes Handeln gefragt. Um weiteren Schaden zu verhindern und die Ursache genau zu analysieren, sollten folgende Schritte eingeleitet werden: