Die Anzahl der Organisationen, die in einer globalen Hacking-Kampagne verletzt wurden, die eine kritische Microsoft SharePoint-Sicherheitsanfälligkeit ausnutzte, ist auf mindestens 400 gestiegen. zur Cybersecurity Firma Eye Security . Dies stellt eine dramatische Eskalation von nur 60 Opfern dar, die Anfang der Woche gemeldet wurde und eine schnell expandierende und gefährliche Situation für Unternehmen weltweit signalisiert. Die Angreifer stehlen kryptografische Schlüssel, um einen tiefen, anhaltenden Zugang zu Netzwerken zu erhalten und ein schwerwiegendes und dauerhaftes Sicherheitsrisiko zu schaffen. Während Microsoft schnell Patches ausgestellt hat, hat die schnelle Eskalation dieser Angriffe Tausende von Servern gefährdet. Akteure
Microsoft hat die weit verbreiteten Angriffe mindestens drei verschiedene, staatlich geförderte Hacking-Gruppen aus China zurückgeführt: Leinentyphoon, Violet Taifun und Storm-2603. Das Unternehmen stellte fest, dass dies etablierte Bedrohungsakteure sind, wobei sich seit 2012 im Jahr 2012 auf dem Diebstahl von geistigem Eigentum und dem erstmaligen Violet-Taifun im Jahr 2015 aktiviert hat. target=”_ leer”>”der Spionage gewidmet”. Diese Zuschreibung wurde durch Googles Bedrohungsinformationsteam unabhängig bestätigt, was auch auf die China-Nexus-Akteure hinwies. Eugenio Benincasa, ein Forscher am Zentrum für Sicherheitsstudien von ETH Zürich, sagte, dass Mitglieder der von Microsoft identifizierten Gruppen in den USA bereits wegen ihrer angeblichen Beteiligung an Hacking-Kampagnen für amerikanische Organisationen angeklagt worden seien. Er fügte hinzu, dass es wahrscheinlich sind, dass die Angriffe von privaten”Hacker for Hire”-Proxy-Gruppen mit der Regierung durchgeführt werden. In einer Erklärung sagte der Sprecher des chinesischen Außenministeriums Guo Jiakun:”China lehnt Hacking-Aktivitäten gemäß dem Gesetz ab und kämpft gegen Hacking-Aktivitäten. Gleichzeitig lehnen wir unter der Entschuldigung der Cybersicherheitsfragen Abstriche und Angriffe gegen China ab.”Dies schafft signifikante geopolitische Spannungen und wiederholt frühere Vorfälle wie die Haupthacks von Microsoft Exchange 2021 und 2023, die auch China verantwortlich gemacht wurden. Silas Cutler, Hauptforscher bei Censys, stellte fest, dass „die anfängliche Ausbeutung dieser Sicherheitsanfälligkeit in Bezug auf das Ziel wahrscheinlich ziemlich begrenzt war, aber da mehr Angreifer lernen, die Ausbeutung zu replizieren, werden wir wahrscheinlich als Ergebnis dieses Vorfalls Verstöße sehen. Während sich die Hauptangriffe um den 18. Juli anstiegen, deuten die Beweise darauf hin, dass Hacker möglicherweise bereits am 7. Juli begonnen haben, die Sicherheitsanfälligkeit auszunutzen. Wie Benincasa warnte: „Nachdem mindestens drei Gruppen Berichten zufolge dieselbe Verwundbarkeit ausnutzten, kann es plausibler sind. heimtückisch aufgrund seiner Methode. Angreifer nutzen CVE-2025-53770 zu stehlen die kryptografischen Maschinenschlüssel des Servers . Dieser Fehler wirkt sich auf SharePoint Server 2016, 2019 und die Abonnement Edition aus. SharePoint-Online-Kunden bleiben nicht betroffen. Es ermöglicht Angreifern, Benutzer und Dienste auszugeben und ihnen einen tiefen und anhaltenden Zugriff zu gewähren, der auch nach dem Patch der ursprünglichen Verwundbarkeit überleben kann. Dies macht die Sanierung weitaus komplexer als die einfache Anwendung eines Updates und erfordert, dass die gestohlenen Schlüssel ungültig werden.
Der Zero-Day ist Berichten zufolge eine Variante eines zuvor gepatanten Fehlers, CVE-2025-49706. Dies deutet darauf hin, dass Angreifer wahrscheinlich”Patch Differing”-analysiert das Sicherheitsupdate-, um schnell einen neuen, alternativen Vektor zu entdecken, um das gleiche böswillige Ergebnis zu erzielen. Diese schnelle Waffe unterstreicht die Raffinesse der Gruppen, die auf Unternehmenssoftware abzielen. href=”https://www.reuters.com/world/us/us-nuclear-weapons-agency-breached-microsoft-share-hocle-bloomberg-news-2025-07-23/”target=”_ blank”> erhöhte den Vorfall in eine Angelegenheit der nationalen Sicherheit . Während die Agentur bestätigte, dass sie gezielt angesprochen wurde, schlagen Experten vor, dass die kritischsten Daten wahrscheinlich sicher sind, weil sie auf isolierten oder „Luft-Gattungs-Netzwerken“ gespeichert wurden. Dies kann Informationen zu Kernmaterialien oder Waffen umfassen, die zwar nicht streng geheim sind, aber immer noch hochempfindlich sind. Der Vorfall wird wahrscheinlich ein Diskussionsthema in bevorstehenden Handelsgesprächen sein, wie von US-Finanzminister Scott Bessent angedeutet: „Offensichtlich werden solche Dinge mit meinen chinesischen Kollegen auf der Tagesordnung sein. Am 21. Juli hat das Unternehmen die Administratoren aufgefordert, die Aktualisierungen sofort anzuwenden, um anfängliche Kompromisse zu verhindern. Microsoft hat betont, dass Organisationen Known Exploited Vulnerabilities (KEV) catalog, issuing a directive for federal Agenturen, um Minderungen bis zum 21. Juli anzuwenden. Als Forscher warnen, dass mehr Gruppen sich dem Kampf anschließen könnten, und das Rennen um Systeme setzt sich fort. Ein Experte stellt fest:”Nachdem mindestens drei Gruppen Berichten zufolge die gleiche Verletzlichkeit ausnutzten, könnte es plausibel mehr folgen.”