Eine globale Hacking-Kampagne nutzt einen kritischen Zero-Day-Fehler (CVE-2025-53770) in der lokalen SharePoint-Software von Microsoft, wobei Angriffe von Spionage zu Ransomware eskalieren. Der erstmals um 7. Juli entdeckte der Verstoß hat über 400 Organisationen betroffen, darunter die .
Die Angreifer stehlen kryptografische Serverschlüssel, um anhaltende Kontrolle zu erhalten. Microsoft hat am 21. Juli Notpatches veröffentlicht und Kunden auffordern, sofort zu aktualisieren. Mit a Der öffentliche Exploit jetzt wächst die Gefahr von weit verbreiteten, automatisierten Angriffen gegen nicht angepatchierte Systeme.
Microsoft und Googles Mandiant haben die ersten Angriffe auf mehrere chinesische staatlich geförderte Bedrohungsakteure zurückgeführt. In a detailed report, Microsoft identified two established groups, Linen Typhoon and Violet Typhoon, and a newer entity, Storm-2603 , als die primären Schuldigen. Charles Carmakal, CTO von Mandiant Consulting, erklärte: „Wir beurteilen, dass mindestens einer der für diese frühen Ausbeutung verantwortlichen Akteure ein Bedrohungsakteur von China-Nexus ist“, und fügt hinzu, dass sich die Situation rasant weiterentwickelt. Diese Zuschreibung fügt eine signifikante geopolitische Dimension hinzu, die frühere Haupthacks von Microsoft-Produkten wiederholt. Die chinesische Regierung hat diese Anschuldigungen fest verweigert. In einer Erklärung sagte der Sprecher des chinesischen Außenministeriums Guo Jiakun: „China lehnt Hacking-Aktivitäten gemäß dem Gesetz ab und kämpft gegen Hacking-Aktivitäten. Gleichzeitig lehnen wir den Abstrichen und Angriffen gegen China unter der Entschuldigung von Cybersicherheitsproblemen ab. Bypass
Die Verwundbarkeit, die als”Toolshell”bezeichnet wird, ist ein klassisches Beispiel für einen”Patch-Bypass”. Sicherheitsforscher glauben, dass Angreifer”Patch Differing”verwendet haben, um das Microsoft-Sicherheitsupdate von Microsoft zu analysieren, das Einbezogene Fehler (CVE-2025-49706). Diese Technik ermöglichte es ihnen, schnell einen neuen Exploit zu entwickeln, der die ursprüngliche Korrektur umgeht.
Der Angriff selbst ist gefährlich heimlich. Anstatt eine typische Webshell einzusetzen, pflanzen Angreifer ein kleines Skript in pextrat die kryptografischen Maschinenschlüsseln des Servers . Diese Methode bietet eine weitaus anhaltendere und gefährlichere Form des Zugangs. Wie das Forschungsteam bei Eye Security warnt, „ermöglichen diese Schlüssel Angreifer, Benutzer oder Dienste zu verkörpern, selbst nachdem der Server gepatcht wurde. So kann das Patching das Problem nicht lösen.“
Dies macht die Sanierung zu einem komplexen zweistufigen Prozess. Das einfache Anwenden des neuen Patchs reicht nicht aus, um Angreifer zu vertreiben, die bereits gegen einen Server verstoßen haben. Organizations must also rotate their ASP.NET machine keys to invalidate the stolen credentials and lock out intruders for gut . Die Situation hat jedoch eine zerstörerischere Wendung gezogen. Microsoft bestätigte am 23. Juli, dass die Storm-2603-Gruppe nun den Exploit zu . Die Verfügbarkeit eines Proof-of-Concept-Exploits auf Github demokratisiert den Angriff weiter und macht es weniger ausgefeilten Cyberkriminellen zugänglich. href=”https://www.eye.security/press/eye-security-detects-large-scale-exploitation-of-critical-microsoft-sharePoint-vulnerability”target=”_ blank”> mindestens 400 Unternehmen nach der Cybersecurity Firma Eye Security . Vaisha Bernard, der Chefhacker des Unternehmens, glaubt, dass die wahre Zahl sogar noch höher ist und bemerkt: „Es gibt noch viel mehr, weil nicht alle Angriffsvektoren Artefakte hinterlassen haben, nach denen wir scannen konnten. Nachdem Microsoft zunächst die Leitlinien für die Minderung vorgelegt hatte, hat er am 21. Juli Notfall-Sicherheitsaktualisierungen für alle betroffenen SharePoint-Versionen veröffentlicht. Die Bedrohungsintelligenabteilung des Unternehmens warnte: „Mit der rasanten Einführung dieser Heldentaten bewertet Microsoft mit hohem Vertrauen, dass die Schauspieler von Bedrohungen sie weiterhin in ihre Angriffe gegen die SCAREPOINT-Systeme in den US-amerikanischen Cybers integrieren. (CISA) added CVE-2025-53770 to its Known Exploited Schwachstellen (KEV)-Katalog . Die Agentur gab eine verbindliche Richtlinie aus, in der alle bundesstaatlichen Zivilbehörden angeordnet wurden, um Microsoft-Patches und Sanierungsschritte anzuwenden. Der Verstoß gegen das Department of Homeland Security und das “leer”>”> Blank”> Dieses Ereignis erinnert an andere wichtige SharePoint-Sicherheitskrisen, einschließlich kritischer Ausbeutungen Ende 2024.