ToolShell: Patch-Umgehung löst Notfallwarnung für Microsoft SharePoint aus

Am Samstag den 19. Juli wurden Microsoft SharePoint Server Thema weltweiter Cybersicherheits-Warnungen. Involviert sind vier CVEs, die kollektiv als „ToolShell“ bezeichnet werden. Zwei davon waren im Juli bereits publik und erhielten Patches, die allerdings mittels Bypass-Exploits umgangen werden konnten, was wiederum zwei weitere CVEs hervorbrachte. Die Schwachstellen ermöglichen Remote-Code-Ausführung (RCE) ohne Authentifizierung mit Systemrechten unter Windows.

Eine breit angelegte Angriffswelle traf bereits die US-Atomwaffenbehörde, sowie über 400 weitere Organisationen, darunter internationale Großunternehmen, Gesundheitsämter und andere Regierungsbehörden, den Finanzsektor und kritische Energieinfrastruktur. Eye Security erkannte die aktive Ausnutzung der Schwachstellen als erstes, woraufhin drei CVEs zum CISA -Katalog bekannter Schwachstellen mit aktiver Ausnutzung (KEV) hinzugefügt wurden. Staatlich finanzierte Ransomware-Angriffe aus China konnten mit diesen Schwachstellen in Verbindung gebracht werden und mehrere Proof-of-Concept-Exploit-Kits (PoC, Machbarkeitsnachweise) sind frei verfügbar [1][2][3]. Viele Länder veröffentlichten nationale CERT-Warnungen, darunter CERT-EU [4], die Niederlande [5], Neuseeland [6], Kanada [7] und Deutschland [8]. Die Schadowserver Foundation hat bereits über 9.000 öffentliche SharePoint IP-Adressen gefunden.

OPENVAS SECURITY INTELLIGENCE von Greenbone enthält Versionserkennungstests [9][10][11][12], direkte aktive Prüfungen auf alle ToolShell-CVEs [13] sowie aktive Checks zugehöriger Indikatoren für Kompromitierung (IoC) [14] in unserem ENTERPRISE FEED. Der Aktualisierungsstatus Ihres OPENVAS ENTERPRISE FEED sollte regelmäßig geprüft werden – nur so sind alle aktuellen Schwachstellentests enthalten. Schauen wir uns nun die ToolShell-Bugs im Detail an.

ToolShell Ereignisse im Zeitverlauf

Hier ein kurzer Überblick über die ToolShell Ereignisse bisher:

• Mai 2025: Dinh Ho Anh Khoa von Vittel Cyber Security deckt am zweiten Tag der Pwn2Own Berlin 2025 die Schwachstellen auf.
• Juli 2025: Microsoft veröffentlicht ein Sicherheitsupdate mit unzureichenden Patches. Zwei CVEs werden bekannt gegeben: CVE-2025-49706 und CVE-2025-49704.
• Juli 2025: Die CODE WHITE GmbH postet eine funktionierende Reproduktion des Exploits.
• Juli 2025: Eye Research berichtet über laufende Angriffskampagnen und stellt fest, dass die Patches umgangen werden können.
• Juli 2025: Microsoft äußert sich zu aktiver Ausnutzung und beschreibt Gegenmaßnahmen. Zwei weitere CVEs bezüglich der Patch-Umgehung werden bekannt gegeben: CVE-2025-53770 und CVE-2025-53771.
• Juli 2025: CISA fügt CVE-2025-53770 zum KEV-Katalog hinzu und erklärt das sofortige Installieren der Sicherheitsupdates als unabdingbar.
• Juli 2025: CISA fügt CVE-2025-49706 und CVE-2025-49704 zum KEV-Katalog hinzu, ebenfalls unter Aufforderung zu umgehender Behebung.
• Juli 2025: Microsoft und CISA bestätigen den Einsatz von ToolShell in Ransomware-Angriffen durch staatlich unterstützte chinesische Bedrohungsakteure und aktualisieren Handlungsempfehlungen.

Die ToolShell-CVEs in Microsoft SharePoint

Als CVE-2025-49706 und CVE-2025-49704 ursprünglich im Mai 2025 als „ToolShell“ bekannt wurden, waren die technischen Details zwar noch nicht öffentlich, dennoch führte die Mitteilung über die Schwachstellen zu Sicherheitsupdates Mitte Juli. Forschungsteams meldeten jedoch bald erfolgreiche Angriffe auf vermeintlich durch die neuen Patches geschützte Server. Dies führte zur Bekanntgabe von CVE-2025-53770 und CVE-2025-53771.

Im Folgenden werden die Details der ToolShell-CVEs kurz dargestellt:

• CVE-2025-49704 (CVSS 8.8): Unsichere Code-Erzeugung (“Code Injection”) [CWE-94] ermöglicht authorisierten Angreifenden das Ausführen von Remote-Code. Laut Cisco Talos sind hierfür Site-Member-Privilegien erforderlich, Microsoft zufolge lässt sich die Schwachstelle nur mit Site-Owner-Privilegien ausnutzen. Laut Microsoft ist die Schwachstelle leicht auszunutzen und birgt somit ein hohes Risiko für einen erfolgreichen Angriff.
• CVE-2025-49706 (CVSS 6.3): Fehlerhafte Authentifizierung [CWE-287] ermöglicht es unauthorisierten Angreifenden, Spoofing über ein Netzwerk auszuführen, also eine vertrauenswürdige Identität vorzutäuschen.
• CVE-2025-53770 (CVSS 9.8): Die Deserialisierung nicht vertrauenswürdiger Daten [CWE-502] ermöglicht unauthorisierten Angreifenden, Code über ein Netzwerk auszuführen. [CWE-94]. Dies stellt eine Variante von CVE-2025-49704 dar.
• CVE-2025-53771 (CVSS 6.3): Unzureichende Begrenzung von Dateipfaden auf bestimmte Verzeichnisse [CWE-22] (“Path Traversal”) ermöglicht unauthorisierten Angreifenden, Spoofing über ein Netzwerk auszuführen. Dies ist eine Variente von CVE-2025-49706.

Die ToolShell Angriffsstrategie

Die Ausnutzung von ToolShell ermöglicht das unauthentifizierte Ausführen von Remote-Code auf betroffenen Microsoft SharePoint Servern. Die Angriffe laufen wie folgt ab:

1. CVE-2025-49706 ermöglicht Zugriff zu internen SharePoint-Diensten, indem der Header Referer: /_layouts/SignOut.aspx manipuliert wird, um die Validierungslogik zu umgehen. Obwohl keine authentischen Sitzungen oder Nutzerdaten bestehen, behandelt SharePoint die Anfragen als authentifiziert.
2. Zeitgleich wird ein bösartiges __VIEWSTATE-Payload an den Endpunkt /_layouts/15/ToolPane.aspx geschickt. Dieses enthält eine präparierte .NET-Gadget-Chain, welche die Deserialisierungs-Schwachstelle CVE-2025-53770 ausnutzt. Dabei handelt es sich um serialisierte ASP.NET-Objekte, die den Zustand von UI-Steuerelementen zwischen dem Browser und dem SharePoints-Backend synchronisieren sollen.
3. Die Deserialisierungs-Schwachstelle lässt Angreifende exe– oder PowerShell-Befehle als Windows SYSTEM-User ausführen, was volle Kontrolle über das betroffene System ermöglicht.
4. Mittels dieser Berechtigung installieren Angreifende unter anderem bösartige ASPX Web Shells (z.B. aspx), um die MachineKey-Konfiguration des betroffenen Systems, also ValidationKey und DecryptionKey, auszulesen und somit permanenten authentifizierten Zugriff zu gewinnen.
5. Die gestohlenen Zugriffstoken ermöglichen Angreifenden nun, mittels ysoserial weitere valide __VIEWSTATE-Payloads zu verschicken.

Risikominderung von ToolShell Angriffen auf Microsoft SharePoint

ToolShell trifft On-Premises-Versionen von Microsoft Office SharePoint 2016, 2019, sowie Abonnement- und End-Of-Life-Versionen (EOL), wie SharePoint Server 2010 und 2013. Aktuelle Sicherheitsupdates sollten sofort installiert werden. Microsofts Sicherheitsupdate früh im Juli 2025 adressiert zwar CVE-2025-49704 und CVE-2025-49706, die neu entstandenen Bypass-Exploits machen jedoch weitere Patches erforderlich:

• KB5002754 für Microsoft SharePoint Server 2019 Core
• KB5002768 für Microsoft SharePoint Subscription Edition
• KB5002760 für Microsoft SharePoint Enterprise Server 2016
• SharePoint Server 2010 und 2013 sind betroffen, erhalten jedoch aufgrund ihres EOL-Status keine Patches mehr
• SharePoint Online (Microsoft 365) ist NICHT betroffen

Microsoft empfiehlt, AMSI im Vollmodus zu aktivieren und Microsoft Defender Antivirus zu nutzen, um erfolgreiche Angriffe zu verhindern. Sicherheitsteams sollten außerdem davon ausgehen, dass ihre Systeme kompromittiert wurden und nach entsprechenden Indikatoren (IoCs) suchen, die in bekannten Angriffskampagnen erkannt wurden. Neben der Erkennung und Entfernung möglicher Malware müssen möglicherweise bereits gestohlene Zugangsdaten ungültig gemacht werden. Zu diesem Zweck wird zur Rotation von ASP.NET-MachineKeys geraten – entweder per PowerShell (Update-SPMachineKey), oder über den Machine Key Rotation Job der Central Administration, gefolgt von einem Neustart der IIS-Dienste mit iisreset.exe.

Zusammenfassung

Die ToolShell-Angriffskette birgt das Risiko unauthentifizierter Ausführung von Remote-Code (RCE). Angriffe bestehen aus der Umgehung der Authentifizierung, gefolgt von RCE mittels fehlerhafter Deserialisierung. Trotz Sicherheitsupdates im Juli 2025 für CVE-2025-49704 und CVE-2025-49706 wurden neue Bypass-Exploits entdeckt (CVE-2025-53770, CVE-2025-53771), die nun global aktiv ausgenutzt werden. Sicherheitsverantwortliche müssen alle verfügbaren Updates umgehend installieren, bestehende Malware beseitigen, Machine Keys rotieren und die Cyber-Resilienz ihrer Systeme prüfen. OPENVAS SECURITY INTELLIGENCE kann dabei helfen – durch schnelle und zuverlässige Erkennung gefährdeter SharePoint-Systeme und über 180.000 weiterer Schwachstellen.