Beobachtungen
Am 22. Juli 2025 veröffentlichte Microsoft Threat Intelligence einen Bericht, in dem das Unternehmen vor aktiven Angriffen auf lokal gehostete SharePoint-Server warnt. Dabei werden mehrere kritische Schwachstellen ausgenutzt. Laut Microsoft konnten staatlich gesteuerte chinesische Cyberakteure beobachtet werden, die diese kritischen Sicherheitslücken ausnutzen, um nicht authentifizierten Zugriff zu erlangen, bösartige Webshells zu installieren und langfristig Kontrolle über die betroffenen Systeme auszuüben.
Hintergrund und Methoden
Die Angreifer haben zuvor unbekannte Sicherheitslücken in SharePoint-Servern ausgenutzt (CVE-2025-49706 und CVE-2025-49704). Dadurch war es den Angreifern möglich, ohne Anmeldung in die Server einzudringen und schädliche Software zu installieren. Zwar veröffentlichte Microsoft Sicherheitsupdates, musste aber später Notfallpatches für neue Umgehungen der Schwachstellen bereitstellen (CVE-2025-53770 und CVE-2025-53771).
Bei dem Angriff nutzt der Cyberakteur ein spezielles Programm namens „ToolShell”, das auf dem Server installiert wird und ihnen dauerhaft Zugriff ermöglicht. Mithilfe dieses Tools können die Angreifer Informationen stehlen, weitere Befehle ausführen und sich unbemerkt im System bewegen. Besonders kritisch ist, dass die Angreifer sog. MachineKeys kopieren. Dadurch können sie auch nach einem Neustart oder Passwortwechsel wieder Zugriff auf das betroffene System erlangen.
Attribution
Die Angriffe werden mehreren chinesischen APT-Gruppen zugeordnet, darunter Linen Typhoon, Violet Typhoon und Storm-2603. Microsoft und andere Sicherheitsorganisationen gehen anhand der Vorgehensweise, der Angreiferinfrastruktur und den eingesetzten Tools davon aus, dass staatliche Interessen hinter der Kampagne stehen. Die im Bericht von Microsoft genannten Cybergruppierungen sind der Cyberabwehr des LfV bekannt.
Empfehlungen
Der Microsoft-Bericht enthält detaillierte Informationen über die von den Angreifern verwendeten Techniken, Taktiken und Methoden sowie IOCs und präventive Maßnahmen zur Verhinderung dieser Angriffe. Wir empfehlen daher, die eigenen Systeme und Netzwerke mithilfe der bereitgestellten technischen Indikatoren zu überprüfen und abzusichern. Bereits bereitgestellte Sicherheitsupdates sollten umgehend installiert werden.