Beschreibung:
Die Schwachstellen am On-Premise-Microsoft-SharePoint-Server, die als CVE-2025-53770 und CVE-2025-53771 verfolgt werden, ermöglichen es einem nicht autorisierten Angreifer, über das Netzwerk Code auszuführen. Die Schwachstellen werden seit mindestens dem 18. Juli aktiv ausgenutzt. Microsoft hat bereits Notfall-Updates für SharePoint 2019 veröffentlicht, die beide Zero-Day-Schwachstellen beheben. Das Update für Microsoft SharePoint Enterprise Server 2016 ist noch nicht veröffentlicht worden. Befolgen Sie in der Zwischenzeit die in diesem Dokument beschriebenen empfohlenen Maßnahmen, damit sie vor einer Ausnutzung geschützt sind.
Betroffene Systeme:
Diese Sicherheitslücken betreffen nur on-premise SharePoint-Server. SharePoint Online in Microsoft 365 ist davon nicht betroffen.
- Microsoft SharePoint Server 2019 16.0.0 <16.0.10417.20037
- Microsoft SharePoint Server Subscription Edition 16.0.0 <16.0.18526.20508
- Microsoft SharePoint Enterprise Server 2016 alleVersionen
Behobene Versionen:
- Microsoft SharePoint Server 2019 >16.0.10417.20037
- Microsoft SharePoint Server Subscription Edition >16.0.18526.20508
- Microsoft SharePoint Enterprise Server 2016 aktuell kein Patch verfügbar
Empfohlene Maßnahmen:
Microsoft empfiehlt die umgehende Umsetzung der bereitgestellten Schutzmaßnahmen zur Absicherung der betroffenen SharePoint-Server. Für Microsoft SharePoint Server 2019 sowie für die SharePoint Subscription Edition stehen aktuell Sicherheitsupdates zur Verfügung. Es wird dringend angeraten, das jeweilige Update, KB50002754 für SharePoint Server 2019 bzw. KB5002768 für die SharePoint Subscription Edition, zeitnah auf allen betroffenen Systemen zu installieren. Für Microsoft SharePoint Enterprise Server 2016 wurde bislang noch kein Sicherheitsupdate veröffentlicht. Bis zur Verfügbarkeit eines Patches sollten in allen Umgebungen ohne Patchmöglichkeit die existierenden SharePoint-Sicherheitsupdates (KB5002744) eingespielt sowie alle weiteren von Microsoft empfohlenen Schutzmaßnahmen umgesetzt werden.
Um zu erkennen, ob ein SharePoint-Server kompromittiert wurde, können Administratoren prüfen, ob die folgende Datei C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx existiert.
Des Weiteren zeigen kompromittierte Sharepoint Server im IIS-Protokoll einen POST-Request an _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx und einen HTTP-Referer von _layouts/SignOut.aspx.
Microsoft hat auch die folgende Microsoft 365 Defender-Abfrage zur Verfügung gestellt, mit der Sie nach dieser Datei suchen können:
DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Microsoft empfiehlt Kunden außerdem, nach der Anwendung der Sicherheitsupdates die ASP.NET-Maschinenschlüssel ihrer SharePoint-Server zu rotieren und die Aktivierung von AMSI durchzuführen. Dadurch wird verhindert, dass Bedrohungsakteure Befehle auf zuvor kompromittierte Diensten ausführen können.
SharePoint-Administratoren können die Computerschlüssel mit einer der beiden folgenden Methoden rotieren:
- Manuell über Power Shell
Verwenden Sie das Cmdlet „Update-SPMachineKey“, um die Maschinenschlüssel mit PowerShell zu aktualisieren.
- Manuell über Central Admin
Lösen Sie den Timer-Job für die Rotation der Maschinenschlüssel aus, indem Sie die folgenden Schritte ausführen:
- Navigate to the Central Administration site.
- Go to Monitoring -> Review job definition.
- Search for Machine Key Rotation Job and select Run Now.
- After the rotation has completed, restart IIS on all SharePoint servers using iisreset.exe.
Einschätzung der Bedrohung:
Die Schwachstelle wird als kritisch eingestuft, da sie in den CISA-Katalog der „Known Exploited Vulnerabilities" aufgenommen wurde und somit bereits als aktiv ausgenutzt gilt. Dies unterstreicht die Dringlichkeit, geeignete Schutzmaßnahmen zu ergreifen.
Weiterführende Links:
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
https://euvd.enisa.europa.eu/vulnerability/EUVD-2025-21981
https://www.cve.org/CVERecord?id=CVE-2025-53770
https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/
