Microsoft unter Beschuss: Hacker nutzen SharePoint-Zero-Day für Großangriff
Eine kritische Sicherheitslücke in Microsofts SharePoint-Software wird weltweit von Hackern ausgenutzt. Behörden, Unternehmen und Universitäten sind betroffen – und Microsoft steht unter Hochdruck. Die Angreifer greifen gezielt Machine Keys ab, um sich dauerhaft Zugang zu verschaffen. Wer jetzt nicht handelt, riskiert die vollständige Kompromittierung seiner IT-Systeme.
Foto: NF24 / KI
Ein massiver Cyberangriff erschüttert derzeit Behörden, Konzerne und öffentliche Einrichtungen weltweit. Der Grund: Eine bislang unbekannte Schwachstelle in der Microsoft-Software SharePoint wurde entdeckt – und sofort von Hackern ausgenutzt. Die Attacke trifft vor allem lokal betriebene SharePoint-Server mit voller Wucht. Die Bedrohung ist so ernst, dass IT-Experten und staatliche Sicherheitsbehörden bereits von einem digitalen Großbrand sprechen.
Die Sicherheitslücke heißt „ToolShell“ – und sie ist brandgefährlich
Die nun ausgenutzte Sicherheitslücke trägt den Namen CVE-2025-53770 und wird intern als „ToolShell“ bezeichnet. Die Lücke betrifft nicht etwa die Cloud-Versionen von SharePoint wie Microsoft 365 – sondern ausschließlich lokal installierte Server. Besonders heimtückisch: Die Angreifer benötigen keine Zugangsdaten. Sie können ihre Schadsoftware direkt aus der Ferne auf dem Zielsystem ausführen – eine sogenannte Remote Code Execution, also ein digitaler Freifahrtschein ins Herz jeder IT-Infrastruktur.
Entdeckt wurde die Lücke am 18. Juli, nur wenige Stunden später wurden erste Angriffe registriert. Experten gehen davon aus, dass weltweit bereits über 75 Systeme erfolgreich kompromittiert wurden. Betroffen sind unter anderem US-Behörden, europäische Verwaltungen, Energieversorger, Telekomfirmen in Asien und mehrere Universitäten. Auch deutsche Behörden könnten unter den Zielscheiben sein – offizielle Angaben dazu gibt es bislang jedoch nicht.
Die unsichtbare Gefahr hinter den Firewalls
Was den Angriff so gefährlich macht, ist die Tatsache, dass die Hacker bei einem erfolgreichen Zugriff sogenannte „Machine Keys“ abgreifen. Diese Schlüssel erlauben es den Angreifern, sich dauerhaft im System festzusetzen – selbst wenn der Fehler später durch ein Update behoben wird. So können sich die Angreifer immer wieder Zugang verschaffen und bleiben womöglich über Monate oder Jahre unentdeckt.
Die eingesetzte Schadsoftware ist technisch hochentwickelt. Sie nutzt intern .NET-Methoden, um tief im System nach verwertbaren Daten zu graben. Ziel ist es offenbar nicht nur, Zugang zu erlangen – sondern diesen möglichst unauffällig zu sichern.
Sharpoint-Lücke: Microsoft reagiert – aber nicht für alle
Inzwischen hat Microsoft reagiert und Patches für zwei Versionen seiner SharePoint-Software veröffentlicht: SharePoint Server 2019 und die sogenannte Subscription Edition. Nutzer älterer Versionen – etwa SharePoint 2016 – müssen sich jedoch noch gedulden. Für sie ist derzeit noch kein Sicherheits-Update verfügbar.
Doch damit nicht genug. Microsoft rät auch zu sofortigen Schutzmaßnahmen: Unternehmen sollen den Defender-Antivirenschutz aktivieren, das Sicherheits-Interface AMSI einschalten und im Zweifel betroffene Server sofort vom Netz nehmen. Noch wichtiger ist: Nach der Installation eines Patches müssen die digitalen Machine Keys ausgetauscht werden, um den Angreifern die Hintertür wieder zu verschließen.
Behörden schlagen Alarm – die Zeit läuft
Auch die US-Sicherheitsbehörde CISA sowie das FBI haben sich in die Diskussion eingeschaltet. Sie haben die Schwachstelle auf die Liste der aktiv ausgenutzten Sicherheitslücken gesetzt. Für US-Behörden bedeutet das: Bis spätestens 21. Juli müssen alle Systeme gepatcht sein.
Doch Experten warnen: Wer glaubt, mit einem einfachen Patch sei das Problem gelöst, irrt gewaltig. Wer bereits gehackt wurde, muss tiefer graben – in Logs, Systemdateien, Netzwerkanalysen. Nur so kann ausgeschlossen werden, dass die Angreifer bereits im System sitzen.
Die Krise hat gerade erst begonnen
Der Vorfall zeigt einmal mehr, wie verwundbar moderne IT-Infrastrukturen sind – besonders dann, wenn sie auf lokale Serverlösungen setzen. Während viele Unternehmen längst in die Cloud gewechselt sind, setzen manche – gerade aus Sicherheitsgründen – weiterhin auf On-Premise-Lösungen. Doch genau diese Entscheidung wird nun zum Bumerang.
Wer jetzt nicht schnell handelt, riskiert nicht nur einen Datenverlust, sondern langfristige Schäden. Ganze Netzwerke könnten durch die gestohlenen Zugriffsschlüssel dauerhaft kompromittiert sein. Und der Aufwand, solche Angriffe rückgängig zu machen, ist immens.
Microsoft unter Druck – Admins in Alarmbereitschaft
Der Druck auf Microsoft wächst. Die Lücke hat weltweite Ausmaße angenommen, das Vertrauen in die eigene Server-Technologie ist erschüttert. Während der Konzern fieberhaft an Updates für ältere Versionen arbeitet, schlagen IT-Verantwortliche Alarm.
Wer SharePoint lokal betreibt, muss jetzt handeln – ohne Wenn und Aber. Denn jeder ungepatchte Server ist ein offenes Scheunentor für Angreifer. Wer bereits betroffen ist, sollte nicht nur updaten, sondern genau prüfen, ob sich bereits ungebetene Gäste im System eingenistet haben.
Jetzt zählt jede Stunde
In den nächsten Tagen wird sich zeigen, wie viele Organisationen die Warnungen ernst genommen haben. Klar ist: Die Gefahr ist real, und sie betrifft uns alle. Ob öffentliche Verwaltung oder mittelständisches Unternehmen – wer auf SharePoint setzt, sollte den Ernst der Lage erkennen.
Denn dieser Sommer ist nicht nur heiß – er könnte auch als der Sommer der Hacker in die Geschichte eingehen.
