Am 19. Juli 2025 veröffentlichte Microsoft ein Advisory für das Produkt SharePoint. Ursächlich für die Herausgabe waren beobachtete Angriffe auf die eigentlich bereits gepatchten Schwachstellen mit den Kennungen CVE-2025-49704 bzw. CVE-2025-49706, die nun auf modifizierte Weise als CVE-2025-53770 und CVE-2025-53771 ausgenutzt werden. Erste Erkenntnisse hierzu wurden am 19. Juli 2025 vom IT-Sicherheitsunternehmen Eye Security bekannt gemacht.

Bei CVE-2025-53770 (basierend auf CVE-2025-49704) handelt es sich um eine nach dem Common Vulnerability Scoring System (CVSS) mit 9.8 von 10 bewertete, kritische Schwachstelle, die einem nicht authentisierten Angreifer die Ausführung von Code aus der Ferne ermöglicht. Die Ausnutzung erfolgte in den beobachteten Attacken in Verbindung mit der Schwachstelle CVE-2025-53771 (basierend auf CVE-2025-49706), eine mit 6.3 („mittel“) bewertete Verwundbarkeit, mit deren Hilfe Spoofing Angriffe über ein Netzwerk initialisiert werden können.

Angreifern ist es nach aktuellen Erkenntnissen gelungen, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen, sodass die bereits veröffentlichten Sicherheitsupdates nicht mehr ausreichen und eine Installation der Notfall-Updates unbedingt notwendig wird.

Eine erfolgreiche Ausnutzung der öffentlich als „ToolShell“ bekannten Schwachstellen ermöglicht einem Angreifer MachineKey-Konfigurationsdetails von verwundbaren SharePoint-Servern zu erlangen. Des Weiteren ermöglichen sie Angreifern den vollen Zugriff auf SharePoint-Inhalte, einschließlich Dateisystemen und internen Konfigurationen, sowie die Ausführung von Code.

Quelle: BSI Update vom 22.07.2025