Beschreibung
Microsoft hat außerhalb des regulären Patchzyklus Informationen zu,
sowie Sicherheitsaktualisierungen für eine kritische
Zero-Day-Schwachstelle in Microsoft SharePoint veröffentlicht. Die
Sicherheitslücke CVE-2025-53770 wird seit zumindest 18.07.2025 durch
Bedrohungsakteure ausgenutzt. Bei der Lücke handelt es sich um eine
Variante eines bereits bekannten und behobenen Problems,
CVE-2025-49706.
CERT.at steht mit nationalen und internationalen Partner:innen im
Austausch und informiert Betroffene in Österreich.
CVE-Nummer(n): CVE-2025-53770
CVSS Base Score: 9.8
Auswirkungen
Eine Ausnutzung der Schwachstelle ermöglicht Bedrohungsakteuren
vollständigen Zugriff auf verwundbare Systeme, einschließlich des
kompletten Zugriffes auf SharePoint-Inhalte, inklusive Dateisystemen
und internen Konfigurationen, sowie die entfernte Ausführung von Code.
Betroffene Systeme
* Microsoft SharePoint 2016 (on-Premises)
* Microsoft SharePoint 2019 (on-Premises)
Abhilfe
Microsoft stellt Updates zur Verfügung, welche die Lücke schließen.
Detaillierte Informationen dazu hat das Unternehmen in einem
eigenen Empfehlungsdokument zusammengefasst.
Nachdem das Update eingespielt worden sind ist es unbedingt notwendig
auf betroffenen Systemen die "SharePoint server ASP.NET machine keys"
zu rotieren und den Webserver IIS neu zu starten. Eine Anleitung für
die Schlüsselrotation findet sich in dem Empfehlungsdokument von
Microsoft.
Weiters empfiehlt das Unternehmen Administrator:innen folgende Schritte
zu setzen:
* Aktivierung des "Antimalware Scan Interface" und Sicherstellung
einer korrekten Konfiguration dessen.
* Ausrollung von "Microsoft Defender for Endpoint" oder ähnlicher
Lösungen um weitere Aktivitäten der Angreifer:innen nach möglicher
Kompromittierung zu blockieren. Für den "Microsoft Defender for
Endpoint" stellt Microsoft auch entsprechende Queries für die Suche
nach verdächtigen Aktivitäten zur Verfügung.
* Prüfen der Systemlogs auf HTTP-Zugriffe des Typs POST auf den
Pfad /_layouts/15/ToolPane.aspx?DisplayMode=Edit sowie auf Zugriffe
von folgenden IP-Adressen: 107.191.58[.]76, 104.238.159[.]149,
96.9.125[.]147
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Customer guidance for SharePoint vulnerability CVE-2025-53770
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-share
point-vulnerability-cve-2025-53770/
Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability
(CVE-2025-53770)
https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-relea
ses-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770
09. Juli 2025
Beschreibung
Microsoft hat eine kritische Sicherheitslücke im Windows SPNEGO
Extended Negotiation (NEGOEX) Security Mechanism veröffentlicht. Die
Schwachstelle ermöglicht es Angreifern, aus der Ferne und ohne
Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen.
CVE-Nummer: CVE-2025-47981
CVSS Base Score: 9.8 (Kritisch)
Auswirkungen
Ein nicht authentifizierter Angreifer kann durch das Senden einer
speziell präparierten Nachricht an den Server beliebigen Code aus der
Ferne ausführen (Remote Code Execution). Die Schwachstelle basiert auf
einem Heap-basierten Pufferüberlauf und erfordert keine
Benutzerinteraktion oder spezielle Privilegien.
Besondere Gefahr: Aufgrund der Eigenschaften dieser Schwachstelle
(keine Authentifizierung erforderlich, Netzwerk-basierter Angriff,
keine Benutzerinteraktion notwendig) besteht das Potenzial für
wurmartige Verbreitung. Ein erfolgreicher Angriff könnte sich
selbstständig über das Netzwerk auf andere verwundbare Systeme
ausbreiten.
Betroffene Systeme
Die Sicherheitslücke betrifft folgende Windows-Versionen:
* Windows 10 (alle Versionen)
* Windows 11 (alle Versionen)
* Windows Server 2008 R2 Service Pack 1
* Windows Server 2012 und 2012 R2
* Windows Server 2016
* Windows Server 2019
* Windows Server 2022
* Windows Server 2025
Besonders gefährdet sind Windows-Client-Systeme ab Windows 10 Version
1607, bei denen die Gruppenrichtlinie "Network security: Allow PKU2U
authentication requests to this computer to use online identities" im
Unterschied zu den Server-Varianten standardmäßig aktiviert ist.
Abhilfe
Microsoft hat für alle betroffenen Versionen Sicherheitsupdates
veröffentlicht. Diese sollten umgehend über Windows Update oder manuell
über den Microsoft Update Catalog installiert werden.
Die spezifischen KB-Nummern für die Updates sind:
* Windows 10/11 und Server 2025: KB5062553
* Windows Server 2022: KB5062572
* Windows Server 2019: KB5062557
* Windows Server 2016: KB5062560
* Windows Server 2012 R2: KB5062597
* Windows Server 2012: KB5062592
* Windows Server 2008 R2: KB5062632 / KB5062619
Mitigationen
Bis zur Installation der Sicherheitsupdates können folgende Maßnahmen
das Risiko reduzieren:
* Gruppenrichtlinie deaktivieren: Auf Windows-Clients kann die
Gruppenrichtlinie "Network security: Allow PKU2U authentication
requests to this computer to use online identities" deaktiviert
werden, um die Angriffsfläche zu reduzieren. Dies kann jedoch die
Funktionalität bestimmter Anwendungen beeinträchtigen.
Hinweis
Dringlichkeitshinweis: Aufgrund der potentiellen Wurmfähigkeit dieser
Schwachstelle empfiehlt CERT.at die sofortige Installation der
Sicherheitsupdates. Die Kombination aus Remote-Ausnutzbarkeit ohne
Authentifizierung, keiner erforderlichen Benutzerinteraktion und der
hohen CVSS-Bewertung (9.8) macht diese Schwachstelle zu einem
kritischen Sicherheitsrisiko.
Zum Zeitpunkt der Veröffentlichung gibt es keine Hinweise auf eine
aktive Ausnutzung der Schwachstelle. Die Veröffentlichung technischer
Details erhöht jedoch das Risiko, dass zeitnah Exploits entwickelt
werden.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Microsoft Security Update Guide - CVE-2025-47981 (Englisch):
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien