Am vergangenen Wochenende begann eine groß angelegte Welle nicht authentifizierter RCE-Angriffe (Remote Code Execution), die als ToolShell bekannt sind und auf lokale Microsoft SharePoint-Server auf der ganzen Welt abzielen. Dabei handelt es sich um eine echte, schnell voranschreitende Kampagne, die zwei neu bekannt gewordene Sicherheitslücken ausnutzt: CVE-2025-53770 und CVE-2025-53771.
Diese Schwachstellen nutzen einen Deserialisierungsfehler in ASP.NET aus, der Angreifern vollständigen Fernzugriff auf SharePoint-Server ermöglicht, ohne dass Anmeldeinformationen oder Benutzerinteraktion erforderlich sind.
Keine Nutzernamen. Kein phishing. Keine malware. Nur eine einzige HTTP-Anfrage, die an einen offenen endpoint gesendet wird.
Hier erfahren Sie, was Sicherheitsteams wissen müssen und wie die Vectra AI Platform helfen kann, diese Angriffe zu stoppen, bevor sie sich ausbreiten.
Was passiert: Die 3 wichtigsten Dinge, die man wissen sollte
1. Die Ausbeutung ist aktiv und fortlaufend
Angreifer nutzen eine waffenfähige Exploit-Kette namens ToolShell, um SharePoint 2016, 2019 und Subscription Edition Server vor Ort zu kompromittieren. Die Kette kombiniert zwei Schwachstellen, die Remotecodeausführung ohne Authentifizierung ermöglichen. Der erste Eintrag erfordert nur eine manipulierte POST-Anfrage.
Kurz gesagt: Hacker können Ihren SharePoint-Server vollständig kompromittieren, ohne sich anzumelden. Und sie tun es bereits.
2. Der Exploit ermöglicht einen langfristigen, heimlichen Zugang
Sobald sie drin sind, laden Angreifer eine kleine Webshell (spinstall0.aspx) hoch, um die kryptografischen Schlüssel des Servers zu extrahieren: den ValidationKey und den DecryptionKey. Mit diesen Schlüsseln können sie vertrauenswürdige Token (__VIEWSTATE) fälschen und Befehle immer wieder ausführen - selbst wenn Sie Ihre Kennwörter ändern oder später einen Patch installieren.
Kurz gesagt: Einmal eingedrungen, können Angreifer einen vertrauenswürdigen Zugang schaffen, so dass sie unbemerkt kommen und gehen können, selbst wenn Sie glauben, dass Sie das Problem behoben haben.
3. Die Kampagne ist global und beschleunigt sich
Eye Security und andere Forscher haben massenhaftes Scannen und eine weit verbreitete Kompromittierung bestätigt. Über 85 Organisationen sind bereits betroffen. Öffentliche Tools und IP-Listen sind im Umlauf, wobei mehr als 9.300 SharePoint-Server als dem Internet ausgesetzt identifiziert wurden.
Kurz gesagt: Die Tools zur Ausnutzung dieses Problems sind öffentlich, die Ziele sind bekannt, und Ihr SharePoint-Server könnte der nächste sein.
Warum Angreifer CVE-2025-53770 lieben
- Keine Anmeldung erforderlich: Der Angriff funktioniert ohne Anmeldedaten oder phishing.
- Vollständige Kontrolle über den Server: Voller Zugriff auf SharePoint-Daten, Systemdateien und Konfigurationen.
- Seitliches Bewegungspotenzial: Pivot in Exchange, OneDrive, Teams und Active Directory.
- Diebstahl von kryptografischen Schlüsseln: Gestohlene MachineKeys ermöglichen langfristigen Backdoor-Zugang.
- Schwer zu erkennen: Der Exploit imitiert legitimen SharePoint-Datenverkehr und -Aktivitäten.
Anatomie des ToolShell-Exploits
Was Angreifer als nächstes tun können, nachdem sie CVE-2025-53770 und CVE-2025-53771 ausgenutzt haben
Die Ausnutzung der ToolShell ist nicht das Ende des Angriffs. Es ist der Beginn einer tiefergehenden Kompromittierung. Sobald ein Server angegriffen wurde, können Angreifer:
1. Fälschen vertrauenswürdiger Token
Mit gestohlenen MachineKeys generieren Angreifer gültige __VIEWSTATE-Payloads, um bösartige Befehle wiederholt und unbemerkt auszuführen.
Kurz gesagt: Sie erzeugen gefälschte, vertrauenswürdige Aktivitäten, die die normalen Kontrollen umgehen.
2. Hintertüren einrichten
Sie stellen oft zusätzliche Webshells bereit, ändern SharePoint-Komponenten oder modifizieren Konfigurationen, um die Persistenz durch Neustarts und Patches zu gewährleisten.
Kurz gesagt: Sie verbergen ihren Zugang, so dass sie auch bei zukünftigen Bereinigungen nicht entfernt werden können.
3. Seitliche Bewegung durch die Umgebung
Angreifer verwenden kompromittierte Anmeldeinformationen und Token, um auf andere Systeme zuzugreifen und ihre Berechtigungen im Netzwerk zu erweitern. Sie können sich seitlich durch Ihr Rechenzentrum, Ihr Campus-Netzwerk, Ihre Remote-Mitarbeiter, Ihre Identitätsinfrastruktur, Ihre cloud und sogar IoT/OT-Systeme bewegen. Von dort aus zielen sie häufig auf Microsoft 365-Dienste (Office, Teams, OneDrive und Outlook), um Dokumente, Kommunikationsdaten, Anmeldeinformationen und andere hochwertige Daten zu stehlen.
Kurz gesagt: Sie nutzen SharePoint als Ausgangspunkt, um Ihre gesamte Umgebung zu kompromittieren.
4. Missbrauch von Microsoft Copilot für die Aufklärungsarbeit
Wenn Copilot für SharePoint aktiviert ist, können Angreifer damit Dokumente zusammenfassen, sensible Inhalte extrahieren und interne Strukturen mithilfe von Prompt Engineering abbilden.
Kurz gesagt: Sie nutzen Ihre eigenen KI-Tools, um das Wichtigste schneller zu finden.
5. Daten stehlen oder Lösegeld verlangen
Mit vollem Zugriff auf SharePoint-Inhalte, E-Mails und interne Dokumente können Angreifer vertrauliche Informationen exfiltrieren oder ransomware einsetzen.
Kurz gesagt: Sie verwandeln Ihre Daten in Hebelwirkung und Gewinn.
Wie Vectra AI hilft
Angriffe wie ToolShell beruhen nicht auf gestohlenen Anmeldeinformationen, malware oder Benutzerinteraktion. Sie nutzen Logikfehler in vertrauenswürdigen Anwendungen aus und umgehen Identität, endpoint und Perimeter absichtlich. Aus diesem Grund werden sie von den meisten herkömmlichen Verteidigungsmaßnahmen nicht erkannt.
Vectra AI deckt bereits die ursprüngliche ToolShell-Angriffskette (CVE-2025-49704) und die neuere Variante CVE-2025-53771 für Kunden ab, die Vectra Match mit entsprechender Sensorentransparenz nutzen. Diese Erkennungen identifizieren Ausnutzungsversuche auf der Grundlage der gemeinsamen Deserialisierungslogik und des endpoint , die in der Angriffskette verwendet werden. Unser Entwicklungsteam arbeitet aktiv an der Erweiterung der Abdeckung für weitere Exploit-Varianten, einschließlich CVE-2025-53770, um sicherzustellen, dass sich der Schutz mit den Bedrohungen weiterentwickelt.
Über die Erkennung hinaus ermöglicht die Vectra AI Ihrem SOC eine schnelle und präzise Untersuchung. Sie korreliert das Verhalten von Angreifern über SharePoint, Identitätssysteme und cloud hinweg und zeigt alles auf, von der Bereitstellung von Webshells über die Ausführung von PowerShells bis hin zu lateralen Bewegungen.
Kombiniert mit Integrationen mit Ihrem SIEM-, SOAR- und EDR-Stack unterstützt Vectra AI eine schnelle und sichere Reaktion, bevor Angreifer eskalieren können.
Bereit für die nächste Variante?
Ganz gleich, ob Angreifer den Referer optimieren, den Dateinamen ändern oder eine neue zero-day anwenden - der Ansatz von Vectra AIverlässt sich nicht auf statische IOCs oder Signaturen. Er verwendet maschinelle Lernmodelle, die den Missbrauch von Protokollen, Verhaltensweisen und Privilegien erkennen - unabhängig davon, wie er verpackt ist.
Vectra AI sieht nicht nur die Sicherheitslücke. Sie hilft Ihnen, sie zu verstehen, sie einzudämmen und den nächsten Schritten voraus zu sein.
Wenn Sie SharePoint vor Ort betreiben, können Sie sich nicht allein auf Perimeter-Tools verlassen.
Vectra AI schließt die Sichtbarkeitslücke, wo andere versagen:
- Sehen Sie sich eine selbstgeführte Demo an, um zu erfahren, wie Vectra Angriffe wie ToolShell erkennt und stoppt, bevor sie sich zu einem ausgewachsenen Einbruch entwickeln.
- Lesen Sie dieMeinung unseres VP of Product Mark Wojtasiak, warum Vectra AI AI im Gartner® Magic Quadrant™ für Network Detection and Response (NDR) 2025 ganz oben steht .
- Erfahren Siemehr darüber, warum Vectra AI im GigaOm Radar Report 2025 für Identity Threat Detection and Response (ITDR) führend und überragend ist
- Schließen Siemit Vectra AI dieLücken in der Erkennung, Untersuchung und Reaktion von Microsoft-Bedrohungen