Handlungsempfehlung von Enginsight
Die als kritisch eingestufte Schwachstelle in Microsoft SharePoint Servern (CVE-2025-53770) wird aktuell aktiv ausgenutzt. Unter bestimmten Voraussetzungen ermöglicht sie Angreifern, die vollständige Kompromittierung betroffener Systeme durch Remote Code Execution (RCE).
Nach unserem Kenntnisstand sind insbesondere folgende Versionen von selbstbetriebenden Servern betroffen:
SharePoint Server 2019
SharePoint Subscription Edition
SharePoint Server 2016 (noch ohne verfügbaren Patch)
Microsoft und CISA haben entsprechende Sicherheitswarnungen veröffentlicht und dringend zur sofortigen Einspielung bereitgestellter Updates geraten.
Allgemeine Empfehlungen:
– Installieren Sie umgehend die bereitgestellten Sicherheitsupdates von SharePoint.
– Aktivieren Sie AMSI-Schutzmechanismen und stellen Sie sicher, dass Microsoft Defender Antivirus/Endpoint aktiv ist.
– Rotieren Sie sensible MachineKeys und führen Sie anschließend einen Neustart der betroffenen Dienste durch (IIS).
– Überprüfen Sie Ihre Systeme auf Kompromittierungsindikatoren, insbesondere ungewöhnliche .aspx-Dateien, verdächtige POST-Anfragen und Systemveränderungen.
– Setzen Sie ggf. forensische Maßnahmen um und ziehen Sie bei Bedarf Unterstützung durch unser Security-Team hinzu.
Unsere Empfehlung nach aktuellem Kenntnisstand
Selbst nach aktiviertem Update scheint ein Angriff möglich zu sein. Wir empfehlen, selbstbetriebene Server auch nach erfolgtem Sicherheitsupdate vom Netz zu nehmen. Da wir die aktuelle Sicherheitslücke als sehr kritisch einstufen, empfehlen wir generell einen Alarm für neu aufkommende kritische CVE ab dem CVSS Score 9 anzulegen. Weiterhin arbeiten wir bereits kurzfristig an der Implementierung zur Erkennung möglicher Angriffe über die CVE-2025-53770. Über entsprechende Updates halten wir Sie zeitnahe auf dem Laufenden.
