close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Die schwere Sharepoint-Sicherheitsl\u00fccke „ToolShell“ h\u00e4lt Microsoft-Admins und Sicherheitsexperten weiter in Atem. Der Softwarekonzern hat nun erste Patches f\u00fcr die on-premise-Versionen seines Kollaborationswerkzeugs bereitgestellt. Doch Administratoren m\u00fcssen weitere Ma\u00dfnahmen ergreifen, um m\u00f6gliche Hintert\u00fcren zu beseitigen.<\/p>\n F\u00fcr die beiden betroffenen Major-Versionen Sharepoint Enterprise Server 2016 und Sharepoint Server 2019 hat Microsoft jetzt Updates bereitgestellt. Die fehlerbereinigte Version Sharepoint Enterprise Server 2016 16.0.5508.1000<\/a> und Sharepoint Server 2019 16.0.10417.20027<\/a> stehen auf den Hilfeseiten des Konzerns bereit. Microsoft weist ausdr\u00fccklich darauf hin, dass nach dem Update in jedem Fall die ASP.Net „Machine Keys“ rotiert werden m\u00fcssen, was mit einem IIS-Neustart einhergeht. Auf den Hilfeseiten zu ToolShell<\/a> finden sich entsprechende Powershell-Commandlets. Microsofts Cloudangebote sind nicht betroffen, lediglich „On-Premise“-Installationen sind gef\u00e4hrdet. Deren Admins sollten unverz\u00fcglich handeln.<\/p>\n Auch die US-Cybersicherheitsbeh\u00f6rde CISA warnt mittlerweile in ihrer „Known Exploited Vulnerabilities Database“ vor der Sicherheitsl\u00fccke und hat einen eigenen \u00dcberblicksartikel<\/a> verfasst, der im Wesentlichen auf Microsofts Hinweisen beruht. Anweisungen der CISA sind f\u00fcr US-Beh\u00f6rden bindend. Das Sicherheitsunternehmen Eye Security h\u00e4lt in seinem Blog eine ausf\u00fchrliche Analyse<\/a> nebst Zeitstrahl vor \u2013 demnach begann die Ausnutzung der L\u00fccke in der Nacht vom 18. auf den 19. Juli und Dutzende Systeme sind „geownt“.<\/p>\n Variante von Pwn2Own-L\u00fccke<\/p>\n Bei der Sicherheitsl\u00fccke mit der CVE-ID CVE-2025-53770<\/a> handelt es sich um eine Variante der auf der Pwn2Own Berlin genutzten L\u00fccken CVE-2025-49706 & CVE-2025-49704. Sie erlaubt mit einer HTTP-Anfrage aus der Ferne die \u00dcbernahme des Sharepoint-Servers. Wie die deutsche „Code White GmbH“ auf X demonstriert<\/a>, reicht es aus, an der richtigen Stelle ein Systemkommando einzuschleusen. So konnten die bislang unbekannten Angreifer die Systeme \u00fcbernehmen und die „Machine Keys“ abziehen. Mit diesen ist es m\u00f6glich, sich dauerhaften Zugriff auf den Sharepoint-Server zu sichern.<\/p>\n
\n English<\/a>.<\/p>\n