Deepdive zu SharePoint-0-Day „ToolShell“ - Technische Details, Auswirkungen und Schutzmaßnahmen

Am 18. Juli 2025 beobachteten Analysten von Sophos MDR (Managed Detection and Response) eine Welle bösartiger Aktivitäten, die auf lokale Microsoft-SharePoint-Server abzielten. Dabei wurden in großem Umfang maliziöse PowerShell-Befehle auf SharePoint-Instanzen ausgeführt, was auf die aktive Ausnutzung einer neuen Angriffskette namens „ToolShell“ hindeutete.

Hinter ToolShell verbirgt sich eine Kombination aus zwei Sicherheitslücken (CVE-2025-49704 und CVE-2025-49706), die erstmals beim Pwn2Own-Wettbewerb im Mai 2025 in Berlin demonstriert wurden. Microsoft schloss diese ursprünglich im Juli-Patch-Tuesday mit Updates – jedoch fanden Angreifer kurz darauf einen Weg, diese Updates zu umgehen, was zur Veröffentlichung zweier neuer CVEs (CVE-2025-53770 und CVE-2025-53771) führte. Diese neuen Schwachstellen werden nun aktiv in freier Wildbahn ausgenutzt, bevor entsprechende Sicherheits-Patches flächendeckend eingespielt werden konnten.

CVE-2025-53770 ist dabei von besonderer Brisanz. Es handelt sich um eine Deserialisierungs-Schwachstelle in SharePoint, durch die unauthentifizierte Remote-Code-Ausführung (RCE) ohne Benutzerinteraktion möglich wird (helpnetsecurity.com).

Betroffen sind on-premises SharePoint Server 2019, 2016 (Enterprise) sowie SharePoint Server Subscription Edition – SharePoint Online (Microsoft 365) ist nicht verwundbar.

Microsoft bewertet die Lücke mit CVSS 9.8 (kritisch) und bestätigte am 19. Juli 2025 laufende Angriffe über diese Zero-Day-Variante.
CVE-2025-53770 stellt im Wesentlichen einen Patch-Bypass der früheren CVE-2025-49704 dar, während CVE-2025-53771 als Bypass von CVE-2025-49706 gilt.

Ersten Erkenntnissen zufolge wird CVE-2025-53771 bisher nicht aktiv ausgenutzt, doch CVE-2025-53770 wird seit mindestens dem 18. Juli systematisch gegen verwundbare SharePoint-Server eingesetzt.

Technische Details des Angriffs (ToolShell-Exploit)

Der ToolShell-Angriff zeigt einen hochentwickelten Exploit-Ablauf, der ältere SharePoint-Schwachstellen mit neuen Persistenz-Techniken kombiniert. Die Angreifer starten den Angriff typischerweise mit einer speziell präparierten HTTP-POST-Anfrage an die SharePoint-Seite ToolPane.aspx innerhalb der _layouts-Verzeichnisse. Diese Anfrage missbraucht die Art und Weise, wie SharePoint Server-seitige Steuerelemente rendert, und erzwingt die Ausführung von eingebetteten PowerShell-Befehlen auf dem Server. Auf diese Weise erlangen die Angreifer initialen Code-Zugriff (Remote Code Execution) auf dem SharePoint-Server.

Unmittelbar nach dem erfolgreichen Exploit installieren die Angreifer eine bösartige ASPX-Webshell auf dem Server, typischerweise im SharePoint-LAYOUTS-Verzeichnis, das webzugänglich ist. So wurden zum Beispiel Dateien wie spinstall0.aspx oder info3.aspx in den betreffenden Umgebungen platziert (news.sophos.com). In den aktuell beobachteten Fällen nutzten die Angreifer eine Webshell namens “SharpViewStateShell”, die auf den SharePoint-Server hochgeladen wurde – diese wurde von Sophos als Troj/WebShel-P Malware erkannt und blockiert. Auffällig ist, dass diese Webshell nicht wie üblich interaktive Befehle oder eine Reverse-Shell bereitstellt, sondern sehr spezifische Funktionen ausführt. Insbesondere dient die Datei spinstall0.aspx laut Analysen ausschließlich dazu, Kryptografiesecrets (insb. die Machine Keys des SharePoint-Servers) auszulesen und an den Angreifer zu exfiltrieren – z.B. durch Ausführen eines einfachen GET-Requests auf diese Webshell.

Nachdem die Angreifer über die Webshell Zugriff auf die MachineKey-Konfiguration der SharePoint-Instanz erhalten haben (insbesondere ValidationKey und DecryptionKey), sind sie in der Lage, die Sicherheitsmechanismen von SharePoint zu umgehen. Mit den gestohlenen Validierungs- und Entschlüsselungs-Schlüsseln können sie nämlich gültige Authentifizierungs-Tokens fälschen und beliebige präparierte ViewState-Payloads kryptographisch signieren.

Praktisch bedeutet das: Die Angreifer können sich gegenüber dem SharePoint-Server als legitime Benutzer oder Dienste ausgeben und eigene schädliche Befehle einschleusen, die vom Server als gültig akzeptiert werden. Das Resultat ist vollständige Remote-Code-Ausführung (RCE) nach Belieben – selbst wenn die ursprüngliche Schwachstelle inzwischen gepatcht wurde. Mit anderen Worten: Durch den Diebstahl der Machine Keys haben die Angreifer eine Hintertür geschaffen, durch die sie jederzeit wieder in das System gelangen können, ohne erneut die ursprüngliche Lücke ausnutzen zu müssen. Dieses Vorgehen knüpft an frühere Angriffe (wie CVE-2021-28474) an, bei denen das Signieren manipulierter ViewStates mit gültigen Schlüsseln entscheidend war.

Auswirkungen und Risiken für Unternehmen

Die Konsequenzen eines erfolgreichen ToolShell-Angriffs auf einen SharePoint-Server sind gravierend. Zunächst erlangt der Angreifer die volle Kontrolle über den kompromittierten Server, da beliebiger Code mit den Rechten des SharePoint-Dienstes ausgeführt werden kann. Darüber hinaus ermöglicht der Diebstahl der SharePoint-MachineKeys dem Angreifer, einen persistenten Zugang aufrechtzuerhalten. Selbst wenn Sicherheitsupdates eingespielt oder die ursprünglich verwendete Webshell entfernt werden, kann der Angreifer mit den gestohlenen Schlüsseln weiterhin authentifizierte Anfragen fälschen und so wieder Zugang erlangen. Patchen allein genügt also nicht, falls das System bereits kompromittiert wurde – die Angreifer können andernfalls durch die gefälschten Tokens weiterhin operieren.

Die Gefahr beschränkt sich nicht nur auf den einzelnen SharePoint-Server. SharePoint ist oft mit kritischen Unternehmensdiensten integriert (z.B. Exchange/Outlook, Teams, OneDrive). Ein erfolgreicher Angriff kann daher schnell Datenabflüsse, Passwort-Diebstahl und laterale Bewegungen im Netzwerk nach sich ziehen. So warnt z.B. das niederländische Sicherheitsunternehmen Eye Security, dass Angreifer persistente Hintertüren oder manipulierte Komponenten installieren können, die Neustarts und Updates überleben, und dass ein kompromittierter SharePoint-Server als Einstiegspunkt für breitere Unternehmensnetzwerk-Angriffe dienen kann. In kürzester Zeit könnten vertrauliche Daten aus SharePoint abgegriffen, Benutzerkonten übernommen und weitere Systeme infiziert werden. US-CERT (CISA) hat CVE-2025-53770 folgerichtig umgehend in den Katalog bekannt ausgenutzter Schwachstellen aufgenommen und US-Bundesbehörden zu schnellen Gegenmaßnahmen bis spätestens 21. Juli verpflichtet – ein Indikator dafür, wie kritisch diese Lage eingeschätzt wird.

Erkennung und Reaktion: Sophos XDR/MDR in Aktion

Die rasche Erkennung solcher Angriffe ist entscheidend, um Schaden zu begrenzen. In diesem Fall hat sich gezeigt, dass eine Kombination aus fortschrittlicher Technik und eingespielten Abläufen effektiv ist. Sophos konnte die ToolShell-Aktivitäten frühzeitig identifizieren: Die Sophos X-Ops Threat-Hunting-Teams bemerkten den Ausbruch der Attacke sofort am 18. Juli und kontaktierten umgehend alle betroffenen Kunden noch am selben Tag (news.sophos.com). In den Angriffsmeldungen fielen charakteristische Auffälligkeiten auf – etwa ungewöhnliche Prozessketten auf SharePoint-Servern, bei denen der IIS-Worker-Prozess (w3wp.exe) eine Kommandozeile und darüber eine PowerShell-Instanz mit obfusziertem Code startet. Solche Abläufe sind in legitimen SharePoint-Betriebsprozessen äußerst ungewöhnlich und gelten als starker Indikator für Kompromittierungen durch CVE-2025-53770.

Tatsächlich wurden die schädlichen Aktivitäten durch die Security-Software von Sophos automatisch erkannt und blockiert. Insbesondere reagierte der Sophos Endpoint-Schutz mit einer verhaltensbasierten Erkennungsregel („Access_3b“), als die Angreifer über PowerShell versuchten, die Webshell auf dem Server abzulegen und an sensible Schlüssel zu gelangen. Diese Behavioral Detection regelte den Exploit-Versuch als verdächtiges Verhalten und stoppte die Aktion proaktiv. Zusätzlich wurde die platzierte Webshell-Datei selbst – SharpViewStateShell – von den Sophos-Signaturen als bekannte Webshell-Malware (Troj/WebShel-P) identifiziert und gemeldet. Dank dieser mehrschichtigen Erkennungsmethoden konnte der Angriff bereits im Anfangsstadium erkannt werden, bevor größerer Schaden entstand.

Sophos bestätigte, dass Kunden mit Sophos Managed Server Protection (XDR/MDR) durch diese frühe Erkennung optimal geschützt waren: Die derzeit beobachteten Attacken wurden durch die bestehende Verhaltensregel Access_3b zuverlässig erkannt und abgewehrt. Die Kombination aus Extended Detection & Response (XDR) auf den Endpunkten/Servern und dem 24/7-Überwachungsservice des MDR-Teams erwies sich hier als äußerst effektiv. Während die XDR-Technologie verdächtige Aktivitäten auf Host- und Prozessebene laufend überwacht (und u.a. die beschriebenen PowerShell-Aktivitäten alarmierte), analysieren die Sicherheitsexperten des MDR-Teams diese Alarme kontextbezogen und leiten sofort Gegenmaßnahmen ein. Im vorliegenden Fall hat Sophos MDR nicht nur automatisiert blockiert, sondern auch aktiv weitere Anzeichen der Kompromittierung über alle Kundenumgebungen hinweg korreliert und verfolgt (news.sophos.com). So konnten Muster der Attacke über mehrere Organisationen erkannt und alle betroffenen Systeme identifiziert werden („exploitation across multiple customer estates“).

Ergänzend dazu bietet eine Network Detection and Response (NDR)-Komponente eine zusätzliche Überwachungsebene auf Netzwerkebene. In einer XDR/MDR-gestützten Umgebung können beispielsweise auch anomale Netzwerkaufrufe oder Datenexfiltrations-Versuche erkannt werden, die auf eine Webshell-Aktivität hindeuten. Im vorliegenden Fall hätte z.B. der ungewöhnliche Abruf der Datei spinstall0.aspx zur Schlüsselabfrage oder auffällige externe Verbindungen des SharePoint-Servers von einer NDR-Lösung als verdächtig eingestuft werden können. Solche kombinierten Telemetriedaten (Endpunkt und Netzwerk) erhöhen die Chance, auch neuartige Angriffe ohne bekannte Signaturen rasch zu entdecken. Die Sophos XDR/MDR-Lösung greift genau auf dieses Zusammenspiel zurück und konnte so bereits vor einem verfügbaren Patch Schutz bieten – ein bedeutender Vorteil gegenüber rein reaktiven Sicherheitsmaßnahmen.

Schutzmaßnahmen und Empfehlungen

Angesichts der kritischen Natur dieser SharePoint-Exploits sollten Organisationen umgehend technische und organisatorische Maßnahmen ergreifen, um sich zu schützen. Microsoft hat mittlerweile außerplanmäßige Updates veröffentlicht, die die neuen Schwachstellen CVE-2025-53770 und -53771 beheben (Stand 21. Juli 2025).

Folgende Schritte sind empfehlenswert:

• Patchen Sie Ihre SharePoint-Server sofort: Spielen Sie die von Microsoft bereitgestellten Sicherheitsupdates für alle betroffenen SharePoint-Versionen ein, ohne den nächsten regulären Patch-Zyklus abzuwarten. Für SharePoint Server Subscription Edition und 2019 stehen Updates bereit (Build 16.0.18526.20508 bzw. 16.0.10417.20037); für 2016 wurde ein Fix nachgeliefert, sobald verfügbar. Dies sollte als Notfall-Patch behandelt werden.
• Temporäre Schutzmaßnahmen (falls Patch nicht sofort möglich): Aktivieren Sie in SharePoint die AMSI-Integration (Antimalware Scan Interface) und stellen Sie sicher, dass ein aktueller Virenschutz (z.B. Microsoft Defender AV oder eine entsprechende Endpoint-Lösung) auf allen SharePoint-Servern aktiv ist. Microsoft weist darauf hin, dass die AMSI-Integration ab den Updates von September 2023 für SharePoint 2016/2019 und in SharePoint Subscription Edition (Version 23H2) standardmäßig aktiviert ist. Ist AMSI aktiv, können Angriffe über diese Lücke in vielen Fällen bereits erkannt oder blockiert werden. Wenn auch dies nicht umsetzbar ist, sollte als Ultima Ratio der SharePoint-Server vorübergehend vom Internet getrennt oder offline genommen werden, um eine Kompromittierung zu verhindern.
• Überprüfen Sie Ihre Server auf Indikatoren eines Kompromisses: Untersuchen Sie Logdateien und Dateisystem Ihrer SharePoint-Server auf verdächtige Hinweise. Achten Sie auf ungewöhnliche Prozessaufrufe (etwa Powershell-Aufrufe ausgehend vom IIS-Prozess) und unautorisierte ASPX-Dateien im SharePoint-Verzeichnis. Insbesondere das Vorhandensein von Dateien wie spinstall0.aspx, info3.aspx oder ähnlich unbekannten Dateien im LAYOUTS-Verzeichnis deutet stark auf einen erfolgreichen Angriff hin. Auch bestimmte auffällige User-Agent-Strings in den Zugriffs-Logs (z.B. eine gefälschte Firefox 120.0 ID) wurden im Rahmen dieser Angriffe beobachtet und können ein Indikator sein. Eine Liste bekannter Indicators of Compromise (IoCs) wird von Sicherheitsforschern kontinuierlich erweitert und veröffentlicht (u.a. von Eye Security und Palo Alto Networks).
• Sofortige Isolation und Bereinigung bei kompromittierten Systemen: Sollten Sie Anzeichen finden, dass ein SharePoint-Server bereits betroffen ist, isolieren oder fahren Sie den Server umgehend herunter. Entfernen Sie gefundene Webshell-Dateien sorgfältig. Erneuern Sie alle Passwörter, Zugangsdaten und insbesondere die kryptographischen Schlüssel (Machine Keys) der SharePoint-Instanz. Microsoft stellt Anleitungen bereit, wie die ValidationKey und DecryptionKey in der Server-Konfiguration rotiert werden können. Dieser Schritt ist zwingend notwendig – allein das Einspielen des Patches reicht nicht, da gestohlene Schlüssel Angreifern sonst weitere Türen offenlassen. Durch das Rotieren der Secrets werden alle vom Angreifer ggf. erzeugten Tokens ungültig, und ein erneutes Eindringen über zuvor erbeutete Zugangsdaten wird unterbunden.
• Ziehen Sie Incident-Response-Experten hinzu: Wenn Sie nicht über spezialisierte interne Ressourcen verfügen oder der Angriff weitreichende Folgen hatte, erwägen Sie die Einbindung externer Incident-Response-Teams. Solche Experten können dabei helfen, das Ausmaß der Kompromittierung festzustellen, versteckte Hintertüren aufzuspüren und weitere Gegenmaßnahmen umzusetzen. Angreifer löschen mitunter Spuren oder installieren persistente Backdoors, die für Laien schwer zu entdecken sind und auch Neustarts überstehen. Eine gründliche forensische Untersuchung und Bereinigung ist in solchen Fällen essentiell, um sicherzustellen, dass der Eindringling vollständig entfernt wurde.

Indicators of Compromise (IOCs)

Organisationen mit lokalem SharePoint sollten u. a. auf folgende Hinweise prüfen:

Empfehlungen für Betreiber von SharePoint On‑Prem

Zusätzlich zu diesen technischen Schritten sind organisatorische Maßnahmen unabdingbar. Stellen Sie sicher, dass ein funktionierendes Patch- und Vulnerability-Management etabliert ist, das auf solche kurzfristigen Warnungen und Notfall-Patches entsprechend reagiert. Die Reaktionszeit ist kritisch – ein definiertes Notfall-Team oder Prozess sollte festlegen, wie bei Bekanntwerden einer Zero-Day-Lücke vorzugehen ist (z.B. sofortige Risikobewertung, Einspielen von Workarounds/Mitigationen und zeitnahe Updates). Schulen Sie Ihre Administratoren dahingehend, die von Herstellern oder CERTs veröffentlichten Security-Advisories zu überwachen und ernst zu nehmen. Im aktuellen Fall hatten Microsoft und verschiedene Security-Anbieter innerhalb weniger Tage ausführliche Warnungen und IOC-Listen publiziert – diese Informationen sollten zügig in Ihre Abwehrmaßnahmen einfließen. Schließlich lohnt es sich zu prüfen, ob Managed Detection and Response Dienste oder ein 24/7 Security Operations Center für Ihre Organisation sinnvoll sind, falls interne Ressourcen begrenzt sind. Professionelle MDR-Services (wie im Sophos-Beispiel) können bei der kontinuierlichen Überwachung helfen und im Ernstfall sofort eingreifen, oft noch bevor ein Unternehmen den Angriff selbst bemerkt.

Fazit

Der ToolShell-Angriff auf SharePoint zeigt eindrücklich, wie wichtig ein ganzheitlicher Sicherheitsansatz ist. Auf der technischen Seite sind aktuelle Patches, mehrstufige Schutzmechanismen (wie Endpoint- und Network-Detection) sowie intelligente Erkennungsregeln entscheidend, um auch neuartige Zero-Day-Angriffe abzuwehren. Gleichzeitg darf die organisatorische Komponente nicht vernachlässigt werden: Ohne klare Prozesse, geschultes Personal und ein Bewusstsein für IT-Sicherheit kann selbst die beste Technik ins Leere laufen. Im vorliegenden Fall konnten viele Angriffsversuche bereits durch proaktive Überwachung und Early-Warning-Systeme wie Sophos XDR/MDR vereitelt werden. Doch ebenso wichtig war die schnelle Reaktion – das Einschalten von Incident Response, das Schließen der Lücken und das Inkenntnissetzen aller Betroffenen innerhalb kürzester Zeit.

Unternehmen sollten diese Vorfälle als Anlass nehmen, die eigene Sicherheitsstrategie zu überprüfen. Ein kritischer Blick auf vorhandene Systeme (gerade solche, die exponiert im Internet stehen wie SharePoint) und die Frage „Sind wir vorbereitet, wenn morgen ein vergleichbarer 0-Day-Exploit auftaucht?“ ist angebracht. Die ToolShell-Exploits unterstreichen, dass Angreifer immer schneller neue Schwachstellen finden und ausnutzen. Mit einer Kombination aus aktuellen Sicherheitslösungen, einem wachsamen Security-Team (intern oder via Dienstleister) und soliden organisatorischen Prozessen kann man der Bedrohung jedoch wirkungsvoll begegnen. So sind Ihre Systeme – und insbesondere wertvolle Collaboration-Plattformen wie SharePoint – selbst gegen hochentwickelte Angriffe bestmöglich geschützt.

Unterstützung benötigt?

Die Behebung dieser Angriffe erfordert sowohl technisches Know-how als auch organisatorische Klarheit. Wir unterstützen bei:

• Bewertung, Forensik und Bereinigung kompromittierter Systeme
• Einrichtung und Härtung von XDR/MDR-gestützten Sicherheitslösungen
• Sicherheitsorganisation, Notfallprozessen und strategischem Risikomanagement
• Auch organisatorisch – z. B. durch unser verbundenes Unternehmen Datiq, das auf IT-Sicherheitsprozesse spezialisiert ist

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500