Microsoft SharePoint Sicherheitslücke 2025: Zeitplan, Ursache und geschäftliche Auswirkungen
Maschinell übersetzt

Microsoft SharePoint Sicherheitslücke 2025: Zeitplan, Ursache und geschäftliche Auswirkungen

Palak Agrawal

Fallstudien

Veröffentlicht am May 13, 2026

9 min read

Teilen auf:

Unternehmensplattformen werden oft unsichtbar, sobald sie tief in die täglichen Abläufe integriert sind. Die Teams verlassen sich auf sie, wenn es um die Speicherung von Dokumenten, Zusammenarbeit, Genehmigungen, Intranet-Workflows und den Zugriff auf internes Wissen geht. Diese Vertrautheit kann zu einer gefährlichen Annahme führen: Wenn die Plattform vertrauenswürdig ist, weithin angenommen und aktiv gewartet wird, muss sie auch standardmäßig sicher sein.

Die Microsoft SharePoint-Sicherheitslücke 2025 hat diese Annahme in Frage gestellt. Die ToolShell-Kampagne zeigte, wie sich eine Microsoft SharePoint-Schwachstelle innerhalb weniger Tage von einem technischen Sicherheitsproblem zu einem Risiko für die Geschäftskontinuität entwickeln kann.

Wenn Angreifer die Authentifizierung umgehen, Code ausführen, Web-Shells einsetzen und den Zugriff auch nach dem Patchen aufrechterhalten können, sind die Auswirkungen nicht mehr auf die Anwendungsebene beschränkt. Es wird zu einem Risiko für Daten, Abläufe, verbundene Systeme und das Vertrauen der Organisation.

Dieser Artikel erläutert den Microsoft SharePoint Breach-Vorfall, die Ursachen für den Microsoft SharePoint Zero Day Exploit und die geschäftlichen Auswirkungen des Angriffs.

Microsoft SharePoint Breach 2025 Überblick

Im Juli 2025 wurde Microsoft SharePoint Server durch eine groß angelegte Exploit-Kampagne namens ToolShell angegriffen. Die Angriffskette ermöglichte es den Bedrohungsakteuren, die Authentifizierung zu umgehen, Remote-Code auszuführen, Web-Shells bereitzustellen und den Zugriff über gestohlene ASP.NET-Maschinenschlüssel aufrechtzuerhalten.

Der Vorfall war von großer Bedeutung, da SharePoint keine Nischenplattform ist. Es handelt sich um eine der weltweit am weitesten verbreiteten Content-Management- und Intranet-Plattformen für Unternehmen mit mehr als 200 Millionen Nutzern in über 200.000 Organisationen weltweit.

Aufgrund dieses Ausmaßes ging die Sicherheitsverletzung in Microsoft SharePoint 2025 über eine einzelne Schwachstelle hinaus. Sie machte deutlich, wie ein unvollständiger Patch, die Vervielfältigung eines öffentlichen Exploits und der dauerhafte Zugriff eines Angreifers eine bekannte Sicherheitslücke in ein globales Geschäftsrisiko verwandeln können.

Microsoft SharePoint Server und die Gefährdung von Unternehmen

Microsoft Corporation ist der Entwickler von SharePoint Server, einer der weltweit am häufigsten eingesetzten Content-Management- und Intranet-Plattformen für Unternehmen.

SharePoint wird von mehr als 200 Millionen Benutzern in über 200.000 Unternehmen weltweit genutzt. Die Akzeptanzrate in Unternehmen liegt bei 67 % und der Marktanteil im Segment der Dokumentenzusammenarbeit beträgt 62 %. Zu den Hauptnutzern gehören Fortune 500-Unternehmen, Regierungsbehörden und Betreiber kritischer Infrastrukturen in 86 Ländern.

Kategorie

Details

 Exploit-Name Toolshell
 Betroffene PlattformMicrosoft SharePoint Server
 HauptschwachstelleCVE-2025-53770
 Verwandte CVEsCVE-2025-49704, CVE-2025-49706, CVE-2025-53771
 AngriffstypAuthentifizierungsumgehung, Remote-Code-Ausführung, Web-Shell-Einsatz
 BedrohungsakteureLinen Typhoon, Violet Typhoon, Storm-2603
 Globale Benutzer200 Millionen Benutzer in mehr als 200.000 Organisationen

Zeitleiste für Microsoft SharePoint Zero-Day Exploit

Der ToolShell-Einbruch geschah nicht in einem einzigen Moment. Sie entwickelte sich durch eine Abfolge von Ereignissen, die mit der öffentlichen Demonstration der Exploit-Kette begann und zu bestätigten Kompromittierungen in Bundesbehörden und Unternehmensumgebungen führte.

Microsoft ToolShell Vreach Timeline

Mai 2025: SharePoint-Exploit bei Pwn2Own demonstriert

Bei Pwn2Own Berlin 2025 verkettete der Forscher Dinh Ho Anh Khoa von Viettel Cyber Security CVE-2025-49704 und CVE-2025-49706, um unauthentifizierte Remotecodeausführung auf SharePoint zu erreichen. Der Exploit gewann einen Preis von 100.000 US-Dollar und wurde später ToolShell genannt.

Juli 8, 2025: Partieller SharePoint-Sicherheitspatch veröffentlicht

Microsoft hat im Rahmen des Patch Tuesday Patches für CVE-2025-49704 und CVE-2025-49706 veröffentlicht. Die Korrektur war jedoch unvollständig, da der zugrunde liegende Angriffspfad nicht vollständig geschlossen war.

Aktive Ausnutzungsversuche wurden noch am selben Tag entdeckt. Dies bedeutete, dass Unternehmen auch nach der Anwendung des ersten SharePoint-Sicherheitsupdates weiterhin gefährdet sein konnten.

July 14-18, 2025: ToolShell PoC und Mass Exploitation

Am 14. Juli reproduzierte die CODE WHITE GmbH die Exploit-Kette öffentlich. Innerhalb von 72 Stunden entdeckte Eye Security die erste groß angelegte Angriffswelle, die mehr als 8.000 ungeschützte SharePoint-Server zum Ziel hatte. Mehr als 400 Organisationen wurden weltweit kompromittiert.

Dies war der Zeitpunkt, an dem der Microsoft Sharepoint Zero Day Exploit von einer bekannten Schwachstelle zu einer Massenausnutzung überging.

July 19-22, 2025: Notfall-Patch für CVE-2025-53770 und CVE-2025-53771

Microsoft veröffentlichte einen Notfall-Patch für die Umgehungsschwachstellen CVE-2025-53770 und CVE-2025-53771. CVE-2025-53770 hat einen CVSS-Score von 9,8 und liegt damit im kritischen Schweregradbereich. CISA fügte die Schwachstellen auch seinem Katalog der bekannten ausgenutzten Schwachstellen hinzu.

Microsoft schrieb die Kampagne Linen Typhoon, Violet Typhoon und Storm-2603 zu.

July 23-24, 2025: Bundesbehörden von SharePoint-Lücke betroffen

Es wurde bestätigt, dass mehrere Bundesbehörden betroffen sind, darunter DHS, HHS, NIH, die National Nuclear Security Administration und die Defense Intelligence Agency. Die CISA benachrichtigte mehr als 12 Bundesbehörden.

Angreifer waren auch in der Lage, durch gestohlene ASP.NET-Maschinenschlüssel dauerhaften Zugriff zu erhalten, selbst auf gepatchten Systemen. Dies erschwerte die Eindämmung des SharePoint-Angriffs, da Patches allein den Zugriff der Angreifer nicht verhindern konnten.

Wurzelursachen für die Microsoft SharePoint-Schwachstelle

Der ToolShell-Angriff wurde durch das Zusammenwirken mehrerer Schwachstellen schwerwiegend. Jede Schwachstelle verstärkte die Auswirkungen der nächsten und verwandelte eine bekannte Schwachstelle in eine breit angelegte Kampagne zur Ausnutzung von SharePoint.

1. Umgehung der Authentifizierung durch einen gefälschten HTTP-Header

CVE-2025-49706 nutzte eine Schwachstelle in der Art und Weise aus, wie SharePoint eingehende Anforderungen validiert. Durch das Setzen des HTTP-Referer-Headers auf /_layouts/SignOut.aspx konnte ein Angreifer den Server dazu bringen, die Anforderung als bereits authentifiziert zu behandeln.

Es war kein Benutzername, Kennwort oder Sitzungs-Token erforderlich. Diese einzelne Header-Manipulation wurde zum Einstiegspunkt für die gesamte Angriffskette.

2. SharePoint Remote Code Execution Through XML Deserialization

CVE-2025-49704 nutzte eine unsichere XML-Deserialisierung im ToolPane.aspx-Endpunkt aus. Sobald die Umgehung der Authentifizierung Zugriff gewährte, löste eine speziell gestaltete XML-Nutzlast die Ausführung von beliebigem Code auf dem SharePoint-Server aus.

Der Hauptfehler geht auf CVE-2020-1147 zurück, ein Deserialisierungsproblem, das erstmals im Jahr 2020 identifiziert und nie vollständig über alle Codepfade hinweg geschlossen wurde.

3. Patch-Umgehung und erweitertes Expositionsfenster

Der Patch vom 8. Juli adressierte die ursprünglich offengelegten CVEs, ließ jedoch einen alternativen Ausführungspfad offen. Diesem Pfad wurden zwei neue CVEs zugeordnet: CVE-2025-53770, mit einem CVSS-Score von 9.8, und CVE-2025-53771.

Organisationen, die den ersten Patch anwendeten und sich als geschützt betrachteten, blieben bis zum SharePoint-Notfall-Patch am 19. Juli gefährdet. Dadurch verlängerte sich das Zeitfenster für die Anfälligkeit und gab Angreifern mehr Zeit, anfällige Systeme ins Visier zu nehmen.

4. Extraktion von Maschinenschlüsseln und dauerhafter Zugriff

Die eingesetzte ToolShell-Web-Shell extrahierte die ASP.NET-Maschinenschlüssel des Servers, einschließlich des ValidationKey und DecryptionKey. Mit diesen Schlüsseln konnten Angreifer __VIEWSTATE-Token fälschen, die SharePoint als legitim akzeptierte.

Dadurch erhielten Angreifer bei Bedarf authentifizierten Zugriff. Noch wichtiger ist, dass der Zugriff auch nach dem Patchen bestehen bleiben konnte, wenn die Schlüssel nicht ausgetauscht wurden.

Auswirkungen des Microsoft SharePoint-Angriffs auf das Jahr 2025

Der ToolShell-Angriff stellte aufgrund des Ausmaßes der SharePoint-Anwendung und der Anzahl der betroffenen Systeme ein ernstes Geschäftsrisiko dar. Mehr als 8.000 ungeschützte Server wurden während der ersten groß angelegten Angriffswelle angegriffen, und mehr als 400 Organisationen wurden weltweit gefährdet. Die CISA hat außerdem mehr als 12 Bundesbehörden benachrichtigt.

Microsoft ToolShell Breach Impact on Business

Diese Zahlen zeigen, warum der Vorfall zu einem großen Problem für Unternehmen und Regierungsbehörden wurde. Die betroffene Plattform war tief in die Geschäftsabläufe, die Dokumentenverwaltung, die interne Zusammenarbeit und die vernetzte Infrastruktur eingebettet.

Betriebliche Folgen von Microsoft SharePoint-Problemen

Wenn SharePoint kompromittiert wird, bleiben die Auswirkungen nicht auf eine Anwendung beschränkt. Sie können interne Daten preisgeben, Geschäftsabläufe stören und ein größeres Sicherheitsrisiko für alle angeschlossenen Systeme darstellen.

1. Vollständige Kompromittierung des Servers

Unauthentifizierte Remote-Code-Ausführung gab Angreifern die Kontrolle über die SharePoint-Anwendung, ihre Daten und die damit verbundene Infrastruktur. Für die betroffenen Organisationen bedeutete dies ein unmittelbares Risiko für interne Dokumente, Arbeitsabläufe, Benutzerzugriff und mit SharePoint verbundene Systeme.

2. Dauerhafter Zugriff durch gestohlene ASP.NET-Maschinenschlüssel

Angreifer extrahierten kryptografische ASP.NET-Maschinenschlüssel, um den Zugriff auch nach der Anwendung von Patches aufrecht zu erhalten. Dies bedeutete, dass Patches allein die Angreifer nicht aus den kompromittierten Umgebungen entfernen konnten.

Organisationen mussten außerdem Schlüssel rotieren, Web-Shells entfernen und überprüfen, ob der dauerhafte Zugriff vollständig entfernt worden war.

3. Einsatz von Ransomware

Storm-2603 setzte die Ransomware Warlock und LockBit auf kompromittierten Servern ein. Microsoft bestätigte diese Aktivität am 23. Juli 2025.

Dies erhöhte die geschäftlichen Auswirkungen der Microsoft SharePoint-Verletzung 2025, da Ransomware den Betrieb stören, den Zugriff auf kritische Systeme einschränken und die Wiederherstellungskosten erhöhen kann.

4. Seitliche Bewegung über verbundene Systeme

Die kompromittierten SharePoint-Server sind eng mit Active Directory verbunden. Dies ermöglichte es Angreifern, sie als Dreh- und Angelpunkt für Domänencontroller und andere kritische Systeme zu nutzen.

Das Ergebnis war, dass sich die Sicherheitsverletzung über SharePoint hinaus ausbreiten und ein größeres Risiko für die gesamte interne Umgebung des Unternehmens darstellen konnte.

Wie DrupalFit dabei hilft, die Drupal-Sicherheit zu stärken, bevor Probleme eskalieren

Der ToolShell-Vorfall zeigt, warum Sicherheit nicht allein von Patches abhängen kann. Unternehmen benötigen einen kontinuierlichen Einblick in Schwachstellen, exponierte Dienste, schwache Verschlüsselung und Risiken auf Anwendungsebene, bevor sie zu aktiven Einstiegspunkten für Angreifer werden.

DrupalFit ist eine speziell für Drupal-Websites entwickelte Plattform für Sicherheitsaudits. Es führt sechs unabhängige Scans über die Anwendungs-, Netzwerk- und Verschlüsselungsebenen Ihrer Website durch und liefert einen Bericht mit Schweregradbewertung.

Die folgende Tabelle zeigt die von DrupalFit abgedeckten Sicherheitsprüfungen.

SicherheitsscanWas wird geprüft
OWASP ZAP Passive Web Application ScanPassiv prüft Ihre Drupal-Website auf gängige Webanwendungsrisiken wie domänenübergreifende Fehlkonfigurationen, unsichere Cookies, anfällige JavaScript-Abhängigkeiten und andere offengelegte Sicherheitsschwächen.
OWASP ZAP Active Web Application ScanÜberprüft Ihre Webanwendung aktiv auf schwerwiegende Schwachstellen wie SQL-Injection, Remote-Befehlsausführung, Cross-Site-Scripting und andere Angriffspfade. Dies umfasst alle Prüfungen des passiven Scans.
Nmap TCP Port ScanErmittelt offene TCP-Ports und Dienste auf Ihren Servern und Firewalls durch Scannen der Ports 0 bis 65535. Dies hilft bei der Identifizierung offener Dienste, die Ihre Angriffsfläche vergrößern könnten.
Nmap UDP Port ScanÜberprüft auf offene UDP-Ports und Dienste, die in Ihrer Infrastruktur offen liegen könnten. Dadurch werden Risiken auf Netzwerkebene aufgedeckt, die bei Standard-Scans von Webanwendungen oft übersehen werden.
OpenVAS Network Vulnerability ScanScannt Server auf mehr als 50.000 bekannte Schwachstellen, einschließlich CVEs, veralteter Software, unsicheren Konfigurationen und Netzwerksicherheitsproblemen.
SSLyze TLS/SSL Encryption Security ScanAnalysiert die TLS/SSL-Konfiguration auf Zertifikatsprobleme, schwache Chiffren, Heartbleed, ROBOT und andere verschlüsselungsbezogene Risiken.

Nach Abschluss der Scans verwandelt DrupalFit die Ergebnisse in einen detaillierten Sicherheits-Audit-Bericht. Der Bericht zeigt kritische, mittelschwere und geringfügige Probleme mit klarer Zählung, verknüpft jedes Problem mit einem benannten CVE oder technischen Befund und bietet einen spezifischen Korrekturpfad für die Behebung.

Automated Security Audit Report

Er ist detailliert genug für Sicherheitsingenieure, um darauf zu reagieren, und klar genug für nicht-technische Führungskräfte, um das Geschäftsrisiko zu verstehen. Mit der Integration des DrupalFit-Statusberichts sind diese Ergebnisse auch direkt in der Drupal-Administrationsumgebung verfügbar, ohne manuellen PDF-Export oder Wechsel zwischen verschiedenen Tools.

DrupalFit kann Zero-Days nicht eliminieren. Das kann keine Plattform. Es hilft jedoch dabei, das Risiko bekannter, durchsuchbarer Schwachstellen zu beseitigen, die in der Produktionsinfrastruktur offen liegen, während niemand mit Handlungsbefugnis weiß, dass sie existieren.

Das Fazit

Der ToolShell-Verstoß erinnert daran, dass große Sicherheitsvorfälle selten von einer Schwachstelle allein ausgehen. In diesem Fall eskalierte das Risiko, weil die Umgehung der Authentifizierung, die Ausführung von Remote-Code, unvollständige Patches, die Vervielfältigung eines öffentlichen Exploits und der dauerhafte Zugriff zusammenkamen.

Die Lektion ist nicht auf SharePoint beschränkt. Jede geschäftskritische Plattform kann zu einem Angriffspunkt werden, wenn bekannte Schwachstellen, offene Dienste, schwache Verschlüsselung oder Fehlkonfigurationen nicht kontinuierlich überwacht werden.

Für Drupal-Teams besteht der nächste Schritt darin, Sicherheit sichtbar, messbar und umsetzbar zu machen. DrupalFit hilft Teams dabei, indem es Anwendungs-Scans, Netzwerk-Expositionsprüfungen, CVE-Erkennung, Verschlüsselungs-Audits und Anleitungen zur Behebung von Problemen in einer für Drupal entwickelten Plattform kombiniert.

Überprüfen Sie jetzt Ihre Drupal-Sicherheit

Nutzen Sie DrupalFit, um bekannte Sicherheitsrisiken aufzudecken, die richtigen Korrekturen zu priorisieren und Ihre Drupal-Sicherheitslage zu stärken, bevor Angreifer die Lücken zuerst finden.

Verwandte Artikel

Tools und Strategien, die moderne Teams benötigen, um ihr Unternehmen voranzubringen

Mehr erfahren