Angriffswelle auf Microsoft SharePoint Server

Sicherheitsexpertinnen und -experten warnen vor einer gravierenden Sicherheitslücke bei Microsoft SharePoint. Die Lücke kann ein Einfallstor für Hacker sein, um dadurch Zugriff auf Netzwerke, Passwörter und Daten zu erlangen. Microsoft bietet Notfall-Updates an.

Verschlüsselungstrojaner allgemein_460x323
Foto: Adobe Stock

SharePoint ist als Kollaborationstool besonders im Arbeitsumfeld beliebt. Aufgaben können zeit- und ortsunabhängig bearbeitet und koordiniert werden, wovon Abläufe und die Unternehmensorganisation profitieren können.

Erneute Sicherheitsbedrohung für SharePoint-Anwenderinnen und Anwender

Microsoft hatte erst kürzlich einige Schwachstellen durch ein Update geschlossen. Allerdings gelang es Hackerinnen und Hacker eine ähnliche Sicherheitslücke („ToolShell“) an anderer Stelle zu finden. Betroffen sind nur lokale SharePoint Server. Microsoft Cloudangebote sind nicht betroffen.

Bleeping Computer berichtete, dass die Sicherheitslücke eine Remote-Code-Ausführung ohne Authentifizierung durch fehlerhafte Datenverarbeitung ermöglicht. Nicht betroffen ist SharePoint Online in Microsoft 365.

Durch die Sicherheitslücke ist aus der Ferne eine HTTP-Anfrage möglich und somit die Übernahme des SharePoint Servers. Schleusen Hackerinnen und Hacker an der richtigen Stelle ein Systemkommando ein, kann das System übernommen und die Machine Keys abgegriffen werden, damit wird auch ein dauerhafter Zugriff auf den Server ermöglicht.

Hinweis

Auch Microsoft Teams unterstützt die virtuelle Zusammenarbeit und Kommunikation. Welche Funktionen und mögliche Risiken bei der Verwendung von MS Teams entstehen, lesen Sie im Artikel „MS-Teams sicher nutzen“.

Sicherheitsupdates wurden ausgerollt

Der Softwarehersteller hat auf die aktuelle Sicherheitslücke reagiert und für SharePoint Server Subscription Edition, SharePoint Enterprise Server 2016 sowie für Sharepoint Server 2019 ein Update ausgrollt. Als zusätzliche Maßnahmen rät Microsoft, die neuesten Sicherheitsupdates zu installieren, das Antimalware Scan Interface (AMSI) zu aktivieren (wenn möglich im Full Mode), welches potenziell schädlichen Code in Echtzeit prüft. Außerdem sollten nach einem vollständigen Virenscan auch die „Machine Keys“ gewechselt werden, damit sich Angreifer nicht dauerhaft auf den SharePoint-Servern festsetzen können.

Letzte Aktualisierung: 24. Juli 2025

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria