Sehr oft werden Sicherheitsprobleme beseitigt, bevor es überhaupt zu aktiver Ausnutzung kommt. Es gibt jedoch allzu oft auch Fälle, in denen erst ein erfolgreicher Einbruch von Schwachstellen zeugt. Ein solches Beispiel ereignete sich nun, denn die weltweit eingesetzte Microsoft-Plattform namens SharePoint wurde zum "Traum für alle Ransomware-Angreifer". Die Rede ist davon, dass zehntausende Unternehmen gefährdet sind und sich nun eilig an Bugfix-Updates machen müssen. Dokumentiert unter der CVE "2025‑53770", ermöglicht die Lücke vollautomatisierte Remote-Code-Ausführung ohne Authentifizierung. Bestätigt sind zum aktuellen Zeitpunkt "dutzende bis hunderte" kompromittierte Unternehmenssysteme, wenngleich es noch deutlich mehr sein dürften.


Weitreichender Zugriff und Manipulationen möglich
Angreifer können kryptografische Schlüssel stehlen, Backdoors installieren und sich auch nach dem Patch-Zyklus Zugang verschaffen. Betroffen sind meist auch verbundene Dienste wie Outlook, Teams und OneDrive. Für SharePoint Subscription Edition und 2019 hat Microsoft bereits Patches bereitgestellt, weitere Updates sind in Vorbereitung. "SharePoint Online" ist nicht direkt betroffen, die Lücke betrifft lokale Instanzen – eine gewisse Ironie, denn aus Datenschutzgründen galt dies für viele Unternehmen die bessere Wahl.

Sicherheitsupdate repariert kompromittierte Systeme nicht
Wer seine Systeme nicht umgehend aktualisieren kann, erhält die dringende Empfehlung, diese vom Internet zu isolieren. Problematisch ist zudem laut Eye Security, dass erfolgreiche Angriffe durch installierte Sicherheitsupdates nicht zwangsläufig zurückgesetzt sind. Fanden bereits Modifikationen statt, lassen sich erfolgte Eingriffe weiterhin missbrauchen – auf Administratoren kommt somit viel Arbeit zu, die Systeme entsprechend zu untersuchen. Das FBI betätigt seine laufende Ermittlungsarbeit, will jedoch aus forensisch-taktischen Gründen noch keine weiteren Details nennen. Momentan geht es darum, Angreifer und Betroffene zu identifizieren.

Einstufung als "schwerwiegend" – Kritik an Microsoft
Palto Alto Networks sowie Googles Threat Intelligence Group stufen das Sicherheitsdebakel als "serious" und "significant" ein, denn Einbrüche waren vergleichsweise einfach, dafür aber umso weitreichender. Die Schuld sieht man klar bei der Updatepolitik von Microsoft, welche lokale SharePoint-Installationen nur zweitrangig bedient – Aktualisierungen kommen im Rahmen der "Cloud First"-Strategie oft verzögert oder gar nicht. Seit Anfang des Jahres war bereits bekannt, dass in den lokalen Versionen Sicherheitslücken klafften, welcher sich das Unternehmen nicht angenommen hatte. Microsoft waren die Schwachstellen demnach bekannt, Sicherheitsupdates oder Transparenz gab es dennoch nicht. Sowohl die technischen Pannen als auch die Kommunikationspolitik lassen das Unternehmen derzeit in schlechtem Licht erscheinen.