Wenn sie eine Atombehörde treffen können, können sie auch Sie erreichen: Was der SharePoint-Exploit für Ihr Unternehmen bedeutet

Der SharePoint-Exploit wurde bei prominenten Opfern eingesetzt, darunter der US-amerikanischen Nationalen Nuklearen Sicherheitsbehörde (NSA), dem Heimatschutzministerium (Ministerium für Innere Sicherheit), dem Energieministerium (Ministerium für Gesundheit und Soziale Dienste) und vielen anderen. Hier erfahren Sie, was das für Sie bedeutet.

Am 20. Juli veröffentlichte Microsoft eine Notfall-Patch Zusammen mit einer Warnung wurde festgestellt, dass Angreifer eine kritische Sicherheitslücke in lokalen SharePoint-Servern aktiv ausnutzten, um die Authentifizierung zu umgehen. Bei erfolgreichem Abschluss könnten Angreifer auf private SharePoint-Inhalte zugreifen, einschließlich interner Konfigurationen und Dateisysteme.

Es stellte sich bald heraus, dass der Fehler wie folgt verfolgt wurde CVE-2025-53770 und eine Variante CVE-2025-53771, zusammenfassend als ToolShell bekannt, wurden verwendet, um Ransomware verbreiten.

Tage später wurde klar, dass der SharePoint-Fix nach einer fehlgeschlagener Sicherheitspatch Anfang des Monats. Microsoft räumte ein, dass die ursprüngliche Lösung für den Fehler – der bei einem Hacker-Wettbewerb im Mai entdeckt wurde – nicht funktionierte, und sah sich daher gezwungen, zusätzliche Patches zur Behebung des Problems zu veröffentlichen.

Bis dahin hatten sich China und die Nationalstaaten als Gegner, darunter Leinen-Taifun und Violetter Taifun – sowie die Bande Sturm-2603 – hatte unter anderem die US-amerikanische Nationale Atomsicherheitsbehörde, das Heimatschutzministerium, das Energieministerium und das Gesundheitsministerium Opfer gefordert.

Microsoft gab auch zu, dass andere Gruppen die Sicherheitslücke in größerem Umfang ausnutzten. Ransomware als Teil der Angriffe enthalten. Es wird angenommen, dass die Microsoft SharePoint ToolShell Angriffe sahen Gegner kompromittieren 396 SharePoint-Systeme in mehr als 145 Organisationen in 41 Ländern.

Angesichts solch prominenter Ziele mögen die SharePoint-Angriffe weit vom Alltagsgeschäft entfernt erscheinen. Dennoch sollte der Vorfall ein Weckruf für jedes Unternehmen sein, das auf Microsoft-Dienste, Cloud-Plattformen oder lokale Collaboration-Tools angewiesen ist. Wenn Angreifer in gehärteten Regierungsumgebungen bestehen bleiben, können sie mit denselben Taktiken leicht anfällige Geschäftssysteme ausnutzen.

Was bedeutet der SharePoint-Exploit also für Unternehmen und wie können Sie Ihre Sicherheitslage verbessern, um nicht ins Kreuzfeuer solcher Angriffe zu geraten?

Sicherheit durch Unklarheit

Die SharePoint ToolShell-Angriffe haben den gefährlichen Mythos der „Sicherheit durch Unklarheit“ zerstört: Der falsche Glaube, dass kleinere Organisationen nicht angegriffen werden, weil sie nicht wichtig genug sind, sagt Dario Perfettibile, Vizepräsident und GM des europäischen Betriebs bei Kiteworks ISMS.online.

Das „massive Ausmaß“ des Verstoßes zeige, wie moderne Cyberangriffe „automatische Ausnutzung nutzen, um Schwachstellen in großem Maßstab anzugreifen“, anstatt sich nur auf bestimmte Organisationen zu konzentrieren, sagt er. „Über 9,300 SharePoint-Server waren online verfügbar. Angreifer nutzten automatisierte Scans, um Tausende anfälliger Systeme zu identifizieren und alles auszunutzen, was sie fanden.“

Die Entwicklung der Kampagne von staatlich geförderter Spionage zu opportunistischen Ransomware-Angriffen „veranschaulicht dies perfekt“, sagt Perfettibile. „Storm-2603 sah in exponierten Servern Möglichkeiten zur Monetarisierung.“

Die SharePoint-Exploits zeigten auch, dass Patches allein das Problem nicht immer lösen, wenn sich Angreifer bereits nach dem ersten Zugriff in den Systemen verstecken. Im Fall von SharePoint nutzten Angreifer Tarntechniken, die auch nach Patches bestehen blieben und schwache interne Kontrollen ausnutzten.

Der Exploit selbst ist schon besorgniserregend genug, aber man muss auch bedenken, wie die Angreifer vorgehen, sobald sie im System sind, sagt Pierre Noel, Field CISO EMEA bei Expel. „Sie haben Techniken wie ‚vom Land leben', und zwar mit denselben Admin-Tools, auf die sich Ihr IT-Team verlässt. Was früher erfahrenen Angreifern vorbehalten war, ist heute fester Bestandteil jedes Ransomware-Handbuchs.“

Vor diesem Hintergrund könnten dieselben Taktiken, die auf nationaler Ebene zur Spionage eingesetzt würden, „genauso leicht gegen einen mittelständischen Einzelhändler oder Gesundheitsdienstleister eingesetzt werden“, warnt er.

Schlechte Sichtbarkeit

Das Risiko wird zusätzlich dadurch erhöht, dass viele Unternehmen ihre Collaboration-Tools nur unzureichend im Blick haben, was zu blinden Flecken bei der Risikobewertung führt. Obwohl Collaboration-Tools für die Produktivität entscheidend sind, werden sie „selten so umfassend überwacht wie Endpunkte oder Firewalls“, so Noel. „Protokolle sind unvollständig, Sicherheitsintegrationen werden erst nachträglich berücksichtigt, und die meisten Risikobewertungen überspringen sie vollständig. Dadurch bleiben die Plattformen, auf denen die Mitarbeiter tatsächlich arbeiten, unüberwacht und ungeschützt.“

Microsoft E3-Lizenzen kann Sicherheitsprotokolle unter Last drosseln und die Übermittlung um bis zu 72 Stunden verzögern, während die meisten Plattformen Audit-Protokolle nur 90 Tage bis ein Jahr aufbewahren, sagt Perfettibile. „Das ist viel zu kurz, wenn man bedenkt, dass forensische Untersuchungen ergeben haben, dass SharePoint-Kompromittierungen schon Monate vor der Entdeckung stattfanden.“

Diese „fragmentierte Überwachung“ schaffe zudem „perfekte Bedingungen für unentdeckten Datenabfluss“, warnt Perfettibile. „Angreifer können ihre Aktivitäten auf mehrere Plattformen verteilen, um unter den individuellen Erkennungsschwellen jedes Systems zu bleiben, während den Sicherheitsteams die plattformübergreifende Verhaltensanalyse fehlt, die zum Erkennen von Mustern erforderlich ist.“

Sicherheitsmaßnahmen

Die SharePoint-Angriffe zeigen, dass jedes Unternehmen anfällig für Sicherheitsverletzungen ist, selbst wenn Angreifer zunächst prominente Ziele angreifen. Vor diesem Hintergrund gibt es einige wichtige Schritte, die Sie jetzt unternehmen können, um sich zu schützen.

Saeed Abbasi, Senior Manager im Produktmanagement der Qualys Threat Research Unit, rät Unternehmen zu einem „Notfall-Erkennungsaudit“, um die gesamte Angriffsfläche für SharePoint sowohl vor Ort als auch online abzubilden. „Identifizieren Sie alle im Internet exponierten Assets, ihre Version und ihren Besitzer. Anschließend sollten Sie die Behebung anhand der Gefährdung und Ausnutzbarkeit priorisieren und kritische Patches im Rahmen strenger Service-Level-Agreements bereitstellen.“

Für alle Assets, bei denen ein sofortiges Patchen nicht möglich ist, empfiehlt Abbasi die Anwendung „fortgeschrittener Sanierungstechniken“ – wie etwa die Isolierung des Hosts oder die Implementierung temporärer Abhilfemaßnahmen –, bis eine dauerhafte Lösung bereitgestellt werden kann.

Gleichzeitig ist es sinnvoll, alle Konfigurationen zu härten. „Erzwingen Sie Multi-Faktor-Authentifizierung und bedingten Zugriff, widerrufen Sie den öffentlichen Zugriff und prüfen Sie Plug-ins von Drittanbietern“, empfiehlt Abbasi.

Um sich vor SharePoint-ähnlichen Angriffen zu schützen, müssen Unternehmen eine Zero-Trust-Architektur implementieren, die jede Anfrage überprüft, auch die von „vertrauenswürdigen“ internen Systemen, rät Perfettibile. „Das ist wichtig, da Angreifer legitime Tools und gestohlene kryptografische Schlüssel nutzten, um nach der ersten Kompromittierung ihre Persistenz aufrechtzuerhalten.“

Die Segmentierung kritischer Daten sei „unverzichtbar“, fügt er hinzu. „Isolieren Sie Kollaborationsplattformen von den Kerngeschäftssystemen, erzwingen Sie standardmäßig den Zugriff mit den geringsten Berechtigungen statt offener Freigabe und stellen Sie sicher, dass ein Verstoß auf einer Plattform nicht auf Ihre gesamte Infrastruktur übergreifen kann.“

Rahmen wie z ISO 27001 Mithilfe von Tools, die Ihnen bei der Einschätzung Ihres individuellen Risikos helfen, können Sie auch die Wahrscheinlichkeit verringern, von Sicherheitslücken wie dem SharePoint-Fehler überrascht zu werden.

In diesem Zusammenhang sind regelmäßige Planspiele, die Sicherheitslücken in Kollaborationsplattformen simulieren, hilfreich, um blinde Flecken aufzudecken. „Testen Sie, ob Ihr Team gestohlene Authentifizierungsschlüssel erkennen, laterale Bewegungen zwischen Plattformen identifizieren und Eindämmungsmaßnahmen ergreifen kann, wenn Patches selbst umgangen wurden“, sagt Perfettibile.

Gleichzeitig können Unternehmen ihre Microsoft-Lieferkettenrisiken einschätzen, indem sie sich darüber im Klaren sind, dass sie anfällig für Multi-Tenant-Sicherheitsverletzungen sind, die andere Organisationen betreffen, so Perfettibile. „Microsoft kontrolliert Ihre Verschlüsselungsschlüssel, wodurch Sie anfällig für blinde Vorladungen sind, und SharePoint-Plugins von Drittanbietern schaffen zusätzliche Angriffsvektoren.“