
Palak Agrawal
Veröffentlicht am May 13, 2026
9 min read
Teilen auf:
Unternehmensplattformen werden oft unsichtbar, sobald sie tief in die täglichen Abläufe integriert sind. Die Teams verlassen sich auf sie, wenn es um die Speicherung von Dokumenten, Zusammenarbeit, Genehmigungen, Intranet-Workflows und den Zugriff auf internes Wissen geht. Diese Vertrautheit kann zu einer gefährlichen Annahme führen: Wenn die Plattform vertrauenswürdig ist, weithin angenommen und aktiv gewartet wird, muss sie auch standardmäßig sicher sein.
Die Microsoft SharePoint-Sicherheitslücke 2025 hat diese Annahme in Frage gestellt. Die ToolShell-Kampagne zeigte, wie sich eine Microsoft SharePoint-Schwachstelle innerhalb weniger Tage von einem technischen Sicherheitsproblem zu einem Risiko für die Geschäftskontinuität entwickeln kann.
Wenn Angreifer die Authentifizierung umgehen, Code ausführen, Web-Shells einsetzen und den Zugriff auch nach dem Patchen aufrechterhalten können, sind die Auswirkungen nicht mehr auf die Anwendungsebene beschränkt. Es wird zu einem Risiko für Daten, Abläufe, verbundene Systeme und das Vertrauen der Organisation.
Dieser Artikel erläutert den Microsoft SharePoint Breach-Vorfall, die Ursachen für den Microsoft SharePoint Zero Day Exploit und die geschäftlichen Auswirkungen des Angriffs.
Im Juli 2025 wurde Microsoft SharePoint Server durch eine groß angelegte Exploit-Kampagne namens ToolShell angegriffen. Die Angriffskette ermöglichte es den Bedrohungsakteuren, die Authentifizierung zu umgehen, Remote-Code auszuführen, Web-Shells bereitzustellen und den Zugriff über gestohlene ASP.NET-Maschinenschlüssel aufrechtzuerhalten.
Der Vorfall war von großer Bedeutung, da SharePoint keine Nischenplattform ist. Es handelt sich um eine der weltweit am weitesten verbreiteten Content-Management- und Intranet-Plattformen für Unternehmen mit mehr als 200 Millionen Nutzern in über 200.000 Organisationen weltweit.
Aufgrund dieses Ausmaßes ging die Sicherheitsverletzung in Microsoft SharePoint 2025 über eine einzelne Schwachstelle hinaus. Sie machte deutlich, wie ein unvollständiger Patch, die Vervielfältigung eines öffentlichen Exploits und der dauerhafte Zugriff eines Angreifers eine bekannte Sicherheitslücke in ein globales Geschäftsrisiko verwandeln können.
Microsoft Corporation ist der Entwickler von SharePoint Server, einer der weltweit am häufigsten eingesetzten Content-Management- und Intranet-Plattformen für Unternehmen.
SharePoint wird von mehr als 200 Millionen Benutzern in über 200.000 Unternehmen weltweit genutzt. Die Akzeptanzrate in Unternehmen liegt bei 67 % und der Marktanteil im Segment der Dokumentenzusammenarbeit beträgt 62 %. Zu den Hauptnutzern gehören Fortune 500-Unternehmen, Regierungsbehörden und Betreiber kritischer Infrastrukturen in 86 Ländern.
Kategorie | Details |
| Exploit-Name | Toolshell |
| Betroffene Plattform | Microsoft SharePoint Server |
| Hauptschwachstelle | CVE-2025-53770 |
| Verwandte CVEs | CVE-2025-49704, CVE-2025-49706, CVE-2025-53771 |
| Angriffstyp | Authentifizierungsumgehung, Remote-Code-Ausführung, Web-Shell-Einsatz |
| Bedrohungsakteure | Linen Typhoon, Violet Typhoon, Storm-2603 |
| Globale Benutzer | 200 Millionen Benutzer in mehr als 200.000 Organisationen |
Der ToolShell-Einbruch geschah nicht in einem einzigen Moment. Sie entwickelte sich durch eine Abfolge von Ereignissen, die mit der öffentlichen Demonstration der Exploit-Kette begann und zu bestätigten Kompromittierungen in Bundesbehörden und Unternehmensumgebungen führte.

Bei Pwn2Own Berlin 2025 verkettete der Forscher Dinh Ho Anh Khoa von Viettel Cyber Security CVE-2025-49704 und CVE-2025-49706, um unauthentifizierte Remotecodeausführung auf SharePoint zu erreichen. Der Exploit gewann einen Preis von 100.000 US-Dollar und wurde später ToolShell genannt.
Microsoft hat im Rahmen des Patch Tuesday Patches für CVE-2025-49704 und CVE-2025-49706 veröffentlicht. Die Korrektur war jedoch unvollständig, da der zugrunde liegende Angriffspfad nicht vollständig geschlossen war.
Aktive Ausnutzungsversuche wurden noch am selben Tag entdeckt. Dies bedeutete, dass Unternehmen auch nach der Anwendung des ersten SharePoint-Sicherheitsupdates weiterhin gefährdet sein konnten.
Am 14. Juli reproduzierte die CODE WHITE GmbH die Exploit-Kette öffentlich. Innerhalb von 72 Stunden entdeckte Eye Security die erste groß angelegte Angriffswelle, die mehr als 8.000 ungeschützte SharePoint-Server zum Ziel hatte. Mehr als 400 Organisationen wurden weltweit kompromittiert.
Dies war der Zeitpunkt, an dem der Microsoft Sharepoint Zero Day Exploit von einer bekannten Schwachstelle zu einer Massenausnutzung überging.
Microsoft veröffentlichte einen Notfall-Patch für die Umgehungsschwachstellen CVE-2025-53770 und CVE-2025-53771. CVE-2025-53770 hat einen CVSS-Score von 9,8 und liegt damit im kritischen Schweregradbereich. CISA fügte die Schwachstellen auch seinem Katalog der bekannten ausgenutzten Schwachstellen hinzu.
Microsoft schrieb die Kampagne Linen Typhoon, Violet Typhoon und Storm-2603 zu.
Es wurde bestätigt, dass mehrere Bundesbehörden betroffen sind, darunter DHS, HHS, NIH, die National Nuclear Security Administration und die Defense Intelligence Agency. Die CISA benachrichtigte mehr als 12 Bundesbehörden.
Angreifer waren auch in der Lage, durch gestohlene ASP.NET-Maschinenschlüssel dauerhaften Zugriff zu erhalten, selbst auf gepatchten Systemen. Dies erschwerte die Eindämmung des SharePoint-Angriffs, da Patches allein den Zugriff der Angreifer nicht verhindern konnten.
Der ToolShell-Angriff wurde durch das Zusammenwirken mehrerer Schwachstellen schwerwiegend. Jede Schwachstelle verstärkte die Auswirkungen der nächsten und verwandelte eine bekannte Schwachstelle in eine breit angelegte Kampagne zur Ausnutzung von SharePoint.
CVE-2025-49706 nutzte eine Schwachstelle in der Art und Weise aus, wie SharePoint eingehende Anforderungen validiert. Durch das Setzen des HTTP-Referer-Headers auf /_layouts/SignOut.aspx konnte ein Angreifer den Server dazu bringen, die Anforderung als bereits authentifiziert zu behandeln.
Es war kein Benutzername, Kennwort oder Sitzungs-Token erforderlich. Diese einzelne Header-Manipulation wurde zum Einstiegspunkt für die gesamte Angriffskette.
CVE-2025-49704 nutzte eine unsichere XML-Deserialisierung im ToolPane.aspx-Endpunkt aus. Sobald die Umgehung der Authentifizierung Zugriff gewährte, löste eine speziell gestaltete XML-Nutzlast die Ausführung von beliebigem Code auf dem SharePoint-Server aus.
Der Hauptfehler geht auf CVE-2020-1147 zurück, ein Deserialisierungsproblem, das erstmals im Jahr 2020 identifiziert und nie vollständig über alle Codepfade hinweg geschlossen wurde.
Der Patch vom 8. Juli adressierte die ursprünglich offengelegten CVEs, ließ jedoch einen alternativen Ausführungspfad offen. Diesem Pfad wurden zwei neue CVEs zugeordnet: CVE-2025-53770, mit einem CVSS-Score von 9.8, und CVE-2025-53771.
Organisationen, die den ersten Patch anwendeten und sich als geschützt betrachteten, blieben bis zum SharePoint-Notfall-Patch am 19. Juli gefährdet. Dadurch verlängerte sich das Zeitfenster für die Anfälligkeit und gab Angreifern mehr Zeit, anfällige Systeme ins Visier zu nehmen.
Die eingesetzte ToolShell-Web-Shell extrahierte die ASP.NET-Maschinenschlüssel des Servers, einschließlich des ValidationKey und DecryptionKey. Mit diesen Schlüsseln konnten Angreifer __VIEWSTATE-Token fälschen, die SharePoint als legitim akzeptierte.
Dadurch erhielten Angreifer bei Bedarf authentifizierten Zugriff. Noch wichtiger ist, dass der Zugriff auch nach dem Patchen bestehen bleiben konnte, wenn die Schlüssel nicht ausgetauscht wurden.
Der ToolShell-Angriff stellte aufgrund des Ausmaßes der SharePoint-Anwendung und der Anzahl der betroffenen Systeme ein ernstes Geschäftsrisiko dar. Mehr als 8.000 ungeschützte Server wurden während der ersten groß angelegten Angriffswelle angegriffen, und mehr als 400 Organisationen wurden weltweit gefährdet. Die CISA hat außerdem mehr als 12 Bundesbehörden benachrichtigt.

Diese Zahlen zeigen, warum der Vorfall zu einem großen Problem für Unternehmen und Regierungsbehörden wurde. Die betroffene Plattform war tief in die Geschäftsabläufe, die Dokumentenverwaltung, die interne Zusammenarbeit und die vernetzte Infrastruktur eingebettet.
Wenn SharePoint kompromittiert wird, bleiben die Auswirkungen nicht auf eine Anwendung beschränkt. Sie können interne Daten preisgeben, Geschäftsabläufe stören und ein größeres Sicherheitsrisiko für alle angeschlossenen Systeme darstellen.
Unauthentifizierte Remote-Code-Ausführung gab Angreifern die Kontrolle über die SharePoint-Anwendung, ihre Daten und die damit verbundene Infrastruktur. Für die betroffenen Organisationen bedeutete dies ein unmittelbares Risiko für interne Dokumente, Arbeitsabläufe, Benutzerzugriff und mit SharePoint verbundene Systeme.
Angreifer extrahierten kryptografische ASP.NET-Maschinenschlüssel, um den Zugriff auch nach der Anwendung von Patches aufrecht zu erhalten. Dies bedeutete, dass Patches allein die Angreifer nicht aus den kompromittierten Umgebungen entfernen konnten.
Organisationen mussten außerdem Schlüssel rotieren, Web-Shells entfernen und überprüfen, ob der dauerhafte Zugriff vollständig entfernt worden war.
Storm-2603 setzte die Ransomware Warlock und LockBit auf kompromittierten Servern ein. Microsoft bestätigte diese Aktivität am 23. Juli 2025.
Dies erhöhte die geschäftlichen Auswirkungen der Microsoft SharePoint-Verletzung 2025, da Ransomware den Betrieb stören, den Zugriff auf kritische Systeme einschränken und die Wiederherstellungskosten erhöhen kann.
Die kompromittierten SharePoint-Server sind eng mit Active Directory verbunden. Dies ermöglichte es Angreifern, sie als Dreh- und Angelpunkt für Domänencontroller und andere kritische Systeme zu nutzen.
Das Ergebnis war, dass sich die Sicherheitsverletzung über SharePoint hinaus ausbreiten und ein größeres Risiko für die gesamte interne Umgebung des Unternehmens darstellen konnte.
Der ToolShell-Vorfall zeigt, warum Sicherheit nicht allein von Patches abhängen kann. Unternehmen benötigen einen kontinuierlichen Einblick in Schwachstellen, exponierte Dienste, schwache Verschlüsselung und Risiken auf Anwendungsebene, bevor sie zu aktiven Einstiegspunkten für Angreifer werden.
DrupalFit ist eine speziell für Drupal-Websites entwickelte Plattform für Sicherheitsaudits. Es führt sechs unabhängige Scans über die Anwendungs-, Netzwerk- und Verschlüsselungsebenen Ihrer Website durch und liefert einen Bericht mit Schweregradbewertung.
Die folgende Tabelle zeigt die von DrupalFit abgedeckten Sicherheitsprüfungen.
| Sicherheitsscan | Was wird geprüft |
| OWASP ZAP Passive Web Application Scan | Passiv prüft Ihre Drupal-Website auf gängige Webanwendungsrisiken wie domänenübergreifende Fehlkonfigurationen, unsichere Cookies, anfällige JavaScript-Abhängigkeiten und andere offengelegte Sicherheitsschwächen. |
| OWASP ZAP Active Web Application Scan | Überprüft Ihre Webanwendung aktiv auf schwerwiegende Schwachstellen wie SQL-Injection, Remote-Befehlsausführung, Cross-Site-Scripting und andere Angriffspfade. Dies umfasst alle Prüfungen des passiven Scans. |
| Nmap TCP Port Scan | Ermittelt offene TCP-Ports und Dienste auf Ihren Servern und Firewalls durch Scannen der Ports 0 bis 65535. Dies hilft bei der Identifizierung offener Dienste, die Ihre Angriffsfläche vergrößern könnten. |
| Nmap UDP Port Scan | Überprüft auf offene UDP-Ports und Dienste, die in Ihrer Infrastruktur offen liegen könnten. Dadurch werden Risiken auf Netzwerkebene aufgedeckt, die bei Standard-Scans von Webanwendungen oft übersehen werden. |
| OpenVAS Network Vulnerability Scan | Scannt Server auf mehr als 50.000 bekannte Schwachstellen, einschließlich CVEs, veralteter Software, unsicheren Konfigurationen und Netzwerksicherheitsproblemen. |
| SSLyze TLS/SSL Encryption Security Scan | Analysiert die TLS/SSL-Konfiguration auf Zertifikatsprobleme, schwache Chiffren, Heartbleed, ROBOT und andere verschlüsselungsbezogene Risiken. |
Nach Abschluss der Scans verwandelt DrupalFit die Ergebnisse in einen detaillierten Sicherheits-Audit-Bericht. Der Bericht zeigt kritische, mittelschwere und geringfügige Probleme mit klarer Zählung, verknüpft jedes Problem mit einem benannten CVE oder technischen Befund und bietet einen spezifischen Korrekturpfad für die Behebung.

Er ist detailliert genug für Sicherheitsingenieure, um darauf zu reagieren, und klar genug für nicht-technische Führungskräfte, um das Geschäftsrisiko zu verstehen. Mit der Integration des DrupalFit-Statusberichts sind diese Ergebnisse auch direkt in der Drupal-Administrationsumgebung verfügbar, ohne manuellen PDF-Export oder Wechsel zwischen verschiedenen Tools.
DrupalFit kann Zero-Days nicht eliminieren. Das kann keine Plattform. Es hilft jedoch dabei, das Risiko bekannter, durchsuchbarer Schwachstellen zu beseitigen, die in der Produktionsinfrastruktur offen liegen, während niemand mit Handlungsbefugnis weiß, dass sie existieren.
Der ToolShell-Verstoß erinnert daran, dass große Sicherheitsvorfälle selten von einer Schwachstelle allein ausgehen. In diesem Fall eskalierte das Risiko, weil die Umgehung der Authentifizierung, die Ausführung von Remote-Code, unvollständige Patches, die Vervielfältigung eines öffentlichen Exploits und der dauerhafte Zugriff zusammenkamen.
Die Lektion ist nicht auf SharePoint beschränkt. Jede geschäftskritische Plattform kann zu einem Angriffspunkt werden, wenn bekannte Schwachstellen, offene Dienste, schwache Verschlüsselung oder Fehlkonfigurationen nicht kontinuierlich überwacht werden.
Für Drupal-Teams besteht der nächste Schritt darin, Sicherheit sichtbar, messbar und umsetzbar zu machen. DrupalFit hilft Teams dabei, indem es Anwendungs-Scans, Netzwerk-Expositionsprüfungen, CVE-Erkennung, Verschlüsselungs-Audits und Anleitungen zur Behebung von Problemen in einer für Drupal entwickelten Plattform kombiniert.
Überprüfen Sie jetzt Ihre Drupal-Sicherheit
Nutzen Sie DrupalFit, um bekannte Sicherheitsrisiken aufzudecken, die richtigen Korrekturen zu priorisieren und Ihre Drupal-Sicherheitslage zu stärken, bevor Angreifer die Lücken zuerst finden.