Ein gravierender weltweiter Hackerangriff nutzt aktiv unentdeckte Zero-Day-Sicherheitslücken in Microsoft SharePoint-Servern aus. Die Angriffe betreffen ausschließlich On-Premise-Installationen – also lokal betriebene Systeme – und richten sich gezielt gegen Unternehmen, Behörden und Forschungseinrichtungen. Microsoft hat Notfall-Patches veröffentlicht, doch die Gefahr ist weiterhin real. In diesem Beitrag wird beleuchtet, was passiert ist, wie Hacker vorgehen und welche Maßnahmen nun dringend ergriffen werden sollten.
Kernpunkte auf einen Blick:
- Angriffe begannen vermutlich um den 18. Juli 2025 und betreffen weltweit mindestens 80–100 SharePoint-Instanzen
- Betroffen sind lokale Server–Cloud-Instanzen (Microsoft 365/SharePoint Online) bleiben unversehrt
- Angriffsmethode: Zero-Day-Exploits (CVE‑2025‑53770 & CVE‑2025‑53771), technisch kombiniert aus Pwn2Own‑Forschung
- Ziel ist das Einschleusen von Schadcode, Extraktion kryptografischer Schlüssel, Aufbau von Backdoors und lateral movement in Netzwerken
Was genau ist passiert — und warum jetzt?
Im Juli 2025 entdeckten Hacker, dass zwei bereits gepatchte Sicherheitslücken in SharePoint wieder ausgehebelt werden konnten. Die Varianten CVE‑2025‑53770 (kritisch, CVSS 9,8) und CVE‑2025‑53771 (mittlerer Schweregrad) ermöglichen es Angreifern, sich unautorisiert Zugriff zu verschaffen und Schadcode auszuführen – ganz ohne Authentifizierung. Bereits seit dem 18. Juli wurde in Wellen auf SharePoint-Server zugegriffen.
Insgesamt konnten mindestens 80 Systeme kompromittiert werden. Besonders betroffen sind Einrichtungen in den USA, Deutschland und weiteren Ländern der G7. Ziel sind sensible Daten wie Dokumente, kryptografische Schlüssel und Konfigurationsdateien. Auch Telekomm‑ und Energieunternehmen sowie Behörden und Universitäten sind involviert.
Angreifer, Ausmaß und Motivation
Die Angriffe werden einer hochorganisierten Hackergruppe zugeschrieben, möglicherweise mit Verbindung zu China. Die Cyberkampagne folgt einem einheitlichen Muster bei Payload und Taktik – was nahelegt, dass ein einzelner Akteur verantwortlich ist. Auch staatliche Ermittlungsbehörden wie das FBI, CISA (USA) und das NCSC (UK) arbeiten inzwischen mit.
Während Microsoft Notfall-Patches (SharePoint Server 2019 & Subscription Edition) verteilte, bleibt eine vollständige Lösung für Server 2016 ausstehend. Experten warnen, dass alleinige Patches keine bereits installierten Backdoors löschen und fordern Notfall-Maßnahmen wie Server-Isolation, Schlüsselrotation und professionelle Incident Response.
Fazit
Die globalen Einbrüche in On-Premise-SharePoint-Server zeigen erneut, wie gefährlich Zero-Day-Exploits sind – besonders in kritischen Collaboration-Systemen. Die bislang bekannte Zahl von 80 bis knapp 100 kompromittierten Instanzen ist alarmierend, insbesondere da Millionen weiterer Server weiterhin verwundbar sind. Zwar liefert Microsoft erste Patches, doch allein mit Updates bleibt man auf dem Kriegspfad: Nur eine Kombination aus Patching, Systemisolation, Key-Rotation und umfassender Forensik verspricht wirkungsvollen Schutz.
