Kaspersky Labs GmbH
SharePoint ToolShell: Sicherheitslücken wegen unvollständigem Fix.
Die kürzlich ausgenutzten ToolShell-Sicherheitslücken in Microsoft SharePoint sind auf eine unvollständige Korrektur für CVE-2020-1147 zurückzuführen, wie eine aktuelle Analyse des Global Research & Analysis Teams (GReAT) von Kaspersky zeigt. Die entsprechende Schwachstelle wurde erstmals im Jahr 2020 gemeldet, wurde aber nicht korrekt gefixt.
Die SharePoint-Schwachstellen haben sich in diesem Jahr angesichts ihrer aktiven Ausnutzung – das Kaspersky Security Network hat weltweit Versuche ihrer Ausnutzung festgestellt – zu einer großen Bedrohung für die Cybersicherheit entwickelt. Die Angriffe richten sich gegen Organisationen aus den Bereichen Regierung, Finanzen, Fertigung, Forst- und Landwirtschaft. Kaspersky-Lösungen erkannten und blockierten die ToolShell-Angriffe proaktiv, noch bevor diese öffentlich bekannt wurden.
Eine Untersuchung der GReAT-Experten des veröffentlichten ToolShell-Exploits zeigt deutliche Ähnlichkeiten mit den aus dem Jahr 2020 stammenden Exploit CVE-2020-1147. Dies deutet darauf hin, dass der Patch CVE-2025-53770 tatsächlich eine effektive Lösung für die Schwachstelle ist, die CVE-2020-1147 vor fünf Jahren zu beheben versuchte.
Der Zusammenhang mit CVE-2020-1147 wurde nach der Entdeckung von CVE-2025-49704 und CVE-2025-49706 deutlich, die am 8. Juli 2025 gepatcht wurden. Die Patches konnten jedoch durch das Hinzufügen eines einzigen Schrägstrichs zur Exploit-Nutzlast umgangen werden. Als Microsoft von der aktiven Ausnutzung dieser Schwachstellen erfuhr, reagierte das Unternehmen mit umfassenden Patches, die potenzielle Umgehungsmethoden behoben haben. Die Sicherheitslücken sind nun als CVE-2025-53770 und CVE-2025-53771 bekannt.
Angriffe auf SharePoint-Server stiegen weltweit im Zeitraum zwischen der ersten Ausnutzung und der vollständigen Bereitstellung der Patches. Obwohl mittlerweile Patches für die ToolShell-Sicherheitslücken verfügbar sind, geht Kaspersky davon aus, dass Angreifer diese noch über Jahre hinweg ausnutzen werden.
„Viele kritische Schwachstellen werden auch Jahre nach ihrer Entdeckung noch aktiv ausgenutzt. Beispiele dafür sind ProxyLogon, PrintNightmare und EternalBlue, die auch heute noch nicht gepatchte Systeme gefährden“, sagt Boris Larin, Principal Security Researcher im Global Research & Analysis Team (GReAT) von Kaspersky. „Wir gehen davon aus, dass das bei ToolShell ähnlich sein wird. Die einfache Möglichkeit zur Ausnutzung wird dazu führen, dass der öffentliche Exploit bald in gängigen Penetrationstest-Tools auftauchen wird, wodurch eine längere Nutzung durch Angreifer möglich ist.“
Empfehlungen zum Schutz vor ToolShell
- Unternehmen, die Microsoft SharePoint verwenden, sollten – wie für alle hochriskanten Sicherheitslücken – die neuesten Sicherheitspatches unverzüglich installieren, da auch bereits eine kurze Exposition zu einer Kompromittierung führen kann.
- Cybersicherheitslösungen einsetzen, die vor Zero-Day-Exploits schützen, wenn noch keine Patches verfügbar sind.
