Was wird ausgenutzt? 

CVE-2025-53770 ermöglicht die Ausführung von Remote Code durch unautorisierte Angreifer über das Netzwerk. Dies kann genutzt werden, um weiteren Schadcode auf dem System herunterzuladen und auszuführen.  

CVE-2025-53771 ermöglicht Zugriffe auf Dateien und Verzeichnisse außerhalb des ursprünglichen Pfads über Netzwerk-Spoofing. Dies kann genutzt werden, um über kritische Pfade und Ordner Daten abzugreifen oder einzuschleusen.   

Wie sollten sich Unternehmen kurzfristig schützen?  

Vor allem durch das Einspielen der bereitgestellten Updates von Microsoft. 

 

Zudem sollten sich Unternehmen durch die Aktivierung der AMSI-Integration (Anti Malware Scan Interface) schützen. 

  • Für SharePoint Enterprise 2016 und SharePoint Server 2019 ist die Integration standardmäßig seit dem Security Update aus dem September 2023 aktiviert.  

  • Bei der Server Subscription Edition ist die Integration standardmäßig seit dem Version 23H2 Feature-Update aktiviert.  

Ist die Aktivierung der AMSI-Integration nicht möglich, sollte das System vom Internet getrennt werden und nur mittels Gateways erreichbar sein. Microsoft stellt hier eine Anleitung zur Aktivierung der AMSI-Integration bereit. 

 

Darüber hinaus müssen Unternehmen, die eine der betroffenen SharePoint-Versionen im Einsatz haben, Defender Antivirus auf allen SharePoint Servern aktivieren. Lizenzen für Defender for Server können auf unterschiedlichen Wegen bezogen werden: Zum einen mittels Defender for Server als Standalone-Lizenz (verfügbar als Enterprise und Business Lizenz via Cloud Solution Provider) und zum anderen via Defender for Cloud.  

Kann der Server nicht durch Defender for Server geschützt werden, sollten Organisationen ein alternatives System für Endpoint oder Extended Detection and Response (EDR/XDR) einsetzen, das die Schwachstellen verlässlich erkennt und bekämpft. 

 

Des Weiteren ist die Rotation der SharePoint Server ASP.NET Machine Keys notwendig. 

 

Zudem ist für Unternehmen der Neustart des Internet Information Services (IIS) auf allen SharePoint-Servern notwendig. 

SharePoint-Sicherheitslücke: Konsequent handeln. 

Sofern keine Updates eingespielt werden können, müssen mindestens  

  • die Aktivierung der AMSI-Integration, 

  • die Aktivierung von Defender Antivirus auf allen SharePoint-Servern, 

  • die Rotation der SharePoint-Server ASP.NET Machine Keys und 

  • der Neustart des IIS auf allen SharePoint-Servern durchgeführt werden. 

Hat der Defender alles beseitigt? 

Ab der Defender for Server Version 1.431.525.0 wird der Exploit auf allen onboarded-Systemen erkannt und blockiert. Sofern automatische Updates für Defender aktiviert sind, müssen Unternehmen keine manuellen Aktionen durchführen.  

Sofern die Updates verzögert oder verwaltet eingespielt werden, gilt es zu prüfen, welche Version eingesetzt wird. 

Die CVEs werden von Defender als folgende Incidents oder Alerts erkannt:  

  • Possible web shell installation 

  • Possible exploitation of SharePoint server vulnerabilities 

  • Suspicious IIS worker process behaviour 

  • ‘SuspSignoutReq’ malware was blocked on a SharePoint server 

  • HijackSharePointServer’ malware was blocked on a SharePoint server 

 

Sie enthalten folgende Malware:  

 

Wenn Sie Defender Vulnerability Management im Einsatz haben, können Sie ebenso über die CVEs die betroffenen Systeme identifizieren:  

  • Öffnen Sie das Defender Portal und suchen Sie im Bereich „Endpunkte“ den Punkt „Sicherheitsrisikomanagement“. Im Unterpunkt „Schwächen“ nutzen Sie die Suchfunktion, um nach den CVEs einzelnen zu suchen. Öffnen Sie die Details des CVEs. Dort können Sie unter „betroffene Geräte“ einsehen, welche ihrer Systeme betroffen sind.  
    Defender Portal > Endpunkte > Sicherheitsrisikomanagement > Schwächen > Suche nach CVE-2025-53770 > Details aufrufen > betroffene Geräte auswählen 

  • Zusätzlich kann mittels Advanced Hunting über die KQL-Abfragen nach den Schwachstellen gesucht werden 

Sollten Sie Fragen zum konkreten Vorgehen haben, melden Sie sich gerne jederzeit bei Ihren Ansprechpersonen oder bei unseren Expert:innen für Cybersicherheit.  

Kontakt aufnehmen