Sicherheitslücke bei Microsoft SharePoint

Das sollten Nutzer jetzt unbedingt tun

Eine kritische Schwachstelle bedroht lokale SharePoint-Server – Microsoft warnt vor aktiven Angriffen und ruft Admins zum sofortigen Handeln auf.

Das sollten Nutzer jetzt unbedingt tun

Bei Microsoft SharePoint wurde eine Sicherheitslücke entdeckt.

Von Lukas Böhl

Eine kritische Sicherheitslücke bedroht derzeit lokale Installationen von Microsoft SharePoint Server. Die Schwachstellen mit den Kennungen CVE-2025-53770 und CVE-2025-53771 werden bereits aktiv ausgenutzt. Betroffen sind ausschließlich lokale SharePoint Server – die Cloud-Version SharePoint Online bleibt außen vor. Microsoft hat dazu am 19. Juli 2025 einen umfassenden Blogpost mit konkreten Handlungsempfehlungen veröffentlicht.

Was ist das Problem?

Microsoft bestätigt Angriffe auf nicht aktualisierte lokale SharePoint-Server, bei denen Schwachstellen im Authentifizierungsprozess ausgenutzt werden. Zwar wurden erste Lücken bereits mit dem Juli 2025 Sicherheitsupdate teilweise geschlossen, doch vollständigen Schutz bieten nur die neuesten Patches.

Konkret betroffen sind:

Diese Maßnahmen sollten jetzt umgesetzt werden

1. Sicherheitsupdates sofort installieren

Microsoft stellt auf seiner Webseite diverse Updates zur Verfügung. Die Updates können über diesen Link heruntergeladen werden.

2. Verwenden Sie nur unterstützte Versionen

Microsoft empfiehlt dringend, nur noch SharePoint 2016, 2019 oder Subscription Edition einzusetzen. Ältere Versionen wie 2010 oder 2013 werden nicht mehr unterstützt und erhalten keine Sicherheitsupdates.

3. AMSI aktivieren (Antimalware Scan Interface)

4. Microsoft Defender for Endpoint nutzen

Defender for Endpoint erkennt typische Angriffsmuster wie:

5. Machine Keys rotieren

Nach erfolgreichem Update oder AMSI-Aktivierung müssen die ASP.NET Machine Keys erneuert werden:

Wer Microsoft Defender Vulnerability Management oder Microsoft 365 Defender nutzt, kann über Advanced Hunting aktiv nach Anzeichen eines Angriffs suchen – etwa nach dem Erstellen der Datei spinstall0.aspx oder Base64-kodierten PowerShell-Kommandos durch w3wp.exe.

Fazit

Wer SharePoint lokal betreibt, muss jetzt handeln. Microsoft liefert die nötigen Patches, Detection-Regeln und Tools. Wichtig ist: Nur vollständig gepatchte und korrekt konfigurierte Systeme sind sicher. Wer AMSI nicht aktivieren kann oder veraltete Versionen nutzt, bringt seine Infrastruktur in akute Gefahr. Alle Details und Anleitungen finden sich im Microsoft-Sicherheitsblog.