Das sollten Nutzer jetzt unbedingt tun

Von Lukas Böhl

Eine kritische Sicherheitslücke bedroht derzeit lokale Installationen von Microsoft SharePoint Server. Die Schwachstellen mit den Kennungen CVE-2025-53770 und CVE-2025-53771 werden bereits aktiv ausgenutzt. Betroffen sind ausschließlich lokale SharePoint Server – die Cloud-Version SharePoint Online bleibt außen vor. Microsoft hat dazu am 19. Juli 2025 einen umfassenden Blogpost mit konkreten Handlungsempfehlungen veröffentlicht.

Was ist das Problem?

Microsoft bestätigt Angriffe auf nicht aktualisierte lokale SharePoint-Server, bei denen Schwachstellen im Authentifizierungsprozess ausgenutzt werden. Zwar wurden erste Lücken bereits mit dem Juli 2025 Sicherheitsupdate teilweise geschlossen, doch vollständigen Schutz bieten nur die neuesten Patches.

Konkret betroffen sind:

• SharePoint Server Subscription Edition
• SharePoint Server 2019
• SharePoint Server 2016 (hier steht ein Fix noch aus)

Diese Maßnahmen sollten jetzt umgesetzt werden

1. Sicherheitsupdates sofort installieren

Microsoft stellt auf seiner Webseite diverse Updates zur Verfügung. Die Updates können über diesen Link heruntergeladen werden.

2. Verwenden Sie nur unterstützte Versionen

Microsoft empfiehlt dringend, nur noch SharePoint 2016, 2019 oder Subscription Edition einzusetzen. Ältere Versionen wie 2010 oder 2013 werden nicht mehr unterstützt und erhalten keine Sicherheitsupdates.

3. AMSI aktivieren (Antimalware Scan Interface)

• AMSI muss aktiv und korrekt konfiguriert sein, idealerweise im Full Mode.
• Defender Antivirus oder eine vergleichbare Lösung sollte auf allen Servern laufen.
• Ist AMSI nicht aktivierbar, empfiehlt Microsoft, den Server temporär vom Internet zu trennen.

4. Microsoft Defender for Endpoint nutzen

Defender for Endpoint erkennt typische Angriffsmuster wie:

• Installation von Webshells
• Auffälliges Verhalten von IIS-Prozessen
• Nutzung verdächtiger .NET-Assemblys
• Auch folgende Malware-Signaturen sind bereits integriert:
• Trojan:Win32/HijackSharePointServer.A
• Exploit:Script/SuspSignoutReq.A

5. Machine Keys rotieren

Nach erfolgreichem Update oder AMSI-Aktivierung müssen die ASP.NET Machine Keys erneuert werden:

• Per PowerShell mit Update-SPMachineKey
• Alternativ im Central Admin: Monitoring → Job Definition → Machine Key Rotation Job → Run Now
• Abschließend: IIS auf allen Servern neu starten (iisreset.exe)

Wer Microsoft Defender Vulnerability Management oder Microsoft 365 Defender nutzt, kann über Advanced Hunting aktiv nach Anzeichen eines Angriffs suchen – etwa nach dem Erstellen der Datei spinstall0.aspx oder Base64-kodierten PowerShell-Kommandos durch w3wp.exe.

Fazit

Wer SharePoint lokal betreibt, muss jetzt handeln. Microsoft liefert die nötigen Patches, Detection-Regeln und Tools. Wichtig ist: Nur vollständig gepatchte und korrekt konfigurierte Systeme sind sicher. Wer AMSI nicht aktivieren kann oder veraltete Versionen nutzt, bringt seine Infrastruktur in akute Gefahr. Alle Details und Anleitungen finden sich im Microsoft-Sicherheitsblog.