Zero-Day-Sicherheitslücken in Microsoft SharePoint

Was steckt dahinter und warum sind selbst große Organisationen hilflos?

Worum geht’s eigentlich?

Aktuell sorgen zwei neu entdeckte Schwachstellen in Microsoft SharePoint für Schlagzeilen. Diese Lücken werden als „Zero-Day-Exploits“ bezeichnet. Sicherheitslücken, für die zum Zeitpunkt der Entdeckung noch keine Updates oder Patches existieren. Sie heißen:

• CVE-2025-53770
• CVE-2025-53771

Diese Schwachstellen ermöglichen es Angreifern, unerlaubten Zugriff auf Server und sensible Daten zu erhalten, und zwar ganz ohne Passwörter oder Zugangsdaten. Das macht sie besonders gefährlich.

Was genau ist der technische Fehler (einfach erklärt)?

Im Grunde basieren diese beiden Schwachstellen darauf, wie SharePoint Daten bei der Anmeldung verarbeitet:

• CVE-2025-53770 erlaubt es Angreifern, bösartigen Code direkt auf dem SharePoint-Server auszuführen („Remote Code Execution“, kurz RCE).
  Einfach ausgedrückt: Hacker können über das Internet Befehle auf Servern ausführen, die diese normalerweise nie erlauben würden.
• CVE-2025-53771 ermöglicht es, Sicherheitsmaßnahmen zu umgehen („Security Feature Bypass“).
  Einfach ausgedrückt: SharePoint merkt nicht, dass etwas Ungewöhnliches passiert – ähnlich einer Alarmanlage, die zwar aktiviert ist, aber den Dieb einfach nicht erkennt.

Beide Fehler kombiniert erlauben Angreifern, vollständig die Kontrolle über Server zu übernehmen.

Wie werden diese Lücken ausgenutzt?

Die Angreifer nutzen vor allem die Webseite zur Anmeldung (Login) von SharePoint. Dort schleusen sie manipulierte Anfragen („Requests“) ein. Diese täuschen dem Server vor, sie seien harmlos – in Wahrheit versteckt sich darin Schadcode.

Die Hacker:

• Schicken eine manipulierte Anfrage, die aussieht wie eine normale Login-Anfrage.
• Nutzen den Fehler, der dem Server sagt: „Alles okay hier, führe diesen Code aus!“.
• Bekommen dadurch Zugang zu geheimen Daten oder Admin-Rechten – ohne Passwort.

Welche Organisationen wurden angegriffen – und warum?

Von diesem Exploit waren bereits mehr als 400 Unternehmen und Behörden weltweit betroffen – darunter auch besonders sensible Einrichtungen wie die US National Nuclear Security Administration (NNSA), verantwortlich für die Sicherheit amerikanischer Atomwaffen.

Die Hacker hatten es vor allem auf staatliche Institutionen, Forschungseinrichtungen, IT-Dienstleister und andere Organisationen abgesehen, die besonders sensible oder strategisch wertvolle Informationen speichern.

Was waren die Folgen und welche Daten konnten gestohlen werden?

Über die kompromittierten SharePoint-Systeme konnten Angreifer unter anderem folgende sensible Informationen abgreifen:

• Interne Dokumente (Verträge, Strategiepläne, Geschäftsgeheimnisse)
• Nukleare und sicherheitsrelevante Daten (etwa Pläne für Sicherheitsverfahren)
• Persönliche Mitarbeiterdaten (Zugangsdaten, Identitäten von Angestellten)

Auch wenn das Ausmaß des Schadens aktuell noch ermittelt wird, ist klar:
Der Zugriff auf solche hochsensiblen Informationen stellt ein enormes Sicherheitsrisiko dar, das von Industriespionage bis hin zu Bedrohungen für nationale Sicherheit reicht.

Wie hoch sind die Schäden und der Aufwand?

Die Schäden solcher Vorfälle gehen schnell in die Millionenhöhe. Allein die unmittelbaren Folgen, etwa forensische Untersuchungen, Wiederherstellung kompromittierter Systeme und der Austausch von Authentifizierungsschlüsseln, verursachen erhebliche Kosten. Schätzungen für ähnliche Fälle liegen schnell im Bereich von mehreren Millionen Euro pro betroffenem Unternehmen. Dazu kommen indirekte Folgen wie:

• Verlust von Vertrauen bei Kunden und Partnern
• Langfristige Imageschäden
• Potenzielle Strafen durch Datenschutzbehörden

Warum konnten große Organisationen wie die US-Nuklearbehörde nichts dagegen tun?

Bei Zero-Day-Lücken liegt das Problem in ihrer Natur: Niemand weiß vorher, dass sie existieren. Selbst große Organisationen sind hier verwundbar, weil:

• Keine Schutzmaßnahmen vorhanden sind.
• Updates zum Schließen der Lücken fehlen.
• Angriffe sehr schnell passieren (innerhalb von Stunden nach Entdeckung).

Das Überraschungsmoment gibt den Angreifern enorme Vorteile, egal wie gut geschützt Organisationen normalerweise sind.

Wie kann man sich davor schützen (und was tun die Betroffenen jetzt)?

Obwohl Zero-Day-Lücken oft plötzlich kommen, gibt es Möglichkeiten, zumindest den Schaden zu begrenzen:

• Updates sofort installieren, sobald verfügbar. (Microsoft liefert inzwischen Patches.)
• Login-Systeme und Web-Zugänge einschränken: Zugang von außen nur für vertrauenswürdige Netzwerke erlauben.
• Zusätzliche Sicherheitsstufen aktivieren, etwa Zwei-Faktor-Authentifizierung (2FA).
• SharePoint-Systeme vorübergehend offline nehmen, wenn Gefahr erkannt wurde.

Betroffene Organisationen handeln jetzt wie folgt:

• Prüfen Server auf ungewöhnliche Aktivitäten.
• Trennen eventuell infizierte Systeme vom Netz.
• Tauschen Sicherheitsschlüssel und Passwörter aus.
• Erstellen detaillierte Analysen, um herauszufinden, welche Daten kompromittiert wurden.

Warum passiert sowas überhaupt?

Software wie SharePoint besteht aus Millionen Zeilen Programmcode. Je komplexer Software ist, desto wahrscheinlicher schleichen sich Fehler ein – selbst Microsoft übersieht manchmal Sicherheitslücken.

Dazu kommt: Kriminelle suchen gezielt nach Schwachstellen, weil diese wertvoll sind – für Datendiebstahl, Erpressung oder Industriespionage.

Fazit – Wie sicher sind wir?

Zero-Day-Angriffe können jeden treffen – von kleinen Unternehmen bis zu großen Behörden. Entscheidend ist:

• Schnelle Reaktion: Je schneller eine Organisation reagiert, desto geringer ist der Schaden.
• Proaktive Vorsorge: Systeme regelmäßig aktualisieren und absichern, um das Risiko zu reduzieren.
• Bewusstsein schaffen: Jeder Nutzer sollte verdächtige Aktivitäten sofort melden, denn Aufmerksamkeit ist oft der beste Schutz.

Weiterführende Links und Quellen: