IT-Security-Spezialisten schlagen Alarm, weil Behörden und Unternehmen offenbar über eine neu entdeckte Schwachstelle in Software von Microsoft angegriffen werden. Betroffen seien lokale Server für die Software Sharepoint. Die Google Threat Intelligence Group (GTIG) etwa habe beobachtet, dass Angreifer diese Sicherheitslücke ausnutzen, um Webshells zu installieren und kryptografische Geheimnisse von den Servern der Opfer zu stehlen. Dies ermögliche einen dauerhaften, nicht authentifizierten Zugriff und stelle ein erhebliches Risiko für betroffene Unternehmen dar.
In den Vereinigten Staaten teilte das FBI gestern mit, es arbeite wegen der Attacken eng mit verschiedenen Behörden und Unternehmen zusammen. Einzelheiten nannte das FBI jedoch nicht. Über die Schwachstelle seien Angreifer bereits in Systeme "Dutzender“ Organisationen eingedrungen, sowohl in der Wirtschaft als auch im Regierungsbereich, betonte ein Manager der IT-Sicherheitsfirma Palo Alto Networks gegenüber der "Washington Post“.
Der Zugang zu den Servern eröffne potenziell die Möglichkeit, Daten zu stehlen und Passwörter abzugreifen, warnte das niederländische Unternehmen Eye Security. Es empfiehlt angesichts der Attacken auf "Tausende“ Server, diese zu isolieren oder abzuschalten.
Jeder, der einen Sharepoint-Server betreibe, habe ein Problem, sagte wiederum ein Manager der Sicherheitsfirma Crowdstrike. Es ist eine bedeutende Schwachstelle.
Microsoft bestätigte das Problem in einem Blogeintrag und veröffentlichte Updates, die die Sicherheitslücke beheben sollen. Es seien jedoch nur lokale Versionen von Microsoft Sharepoint betroffen, nicht jedoch Sharepoint Online in Microsoft 365, versichert der Softwareriese. Wer hinter den Attacken steckt, ist unklar. In den USA seien Server von zwei Bundesbehörden erfolgreich angegriffen worden, schrieb die "Washington Post“ unter Berufung auf Experten. Angaben dazu, um welche Behörden es geht, wurden nicht gemacht.
Microsoft hatte kürzlich mit einem Update mehrere Schwachstellen geschlossen. Die Angreifer fanden danach eine ähnliche Zero-Day-Sicherheitslücke an anderer Stelle, nämlich CVE-2025-53770 (eine Variante von CVE-2025-49706), die bisher ungepatcht war (CVSS 3.1 9.8). Die US-IT-Sicherheitsbehörde Cisa rief betroffene staatliche Stellen und Unternehmen zu schnellem Handeln auf. Insgesamt sind derzeit 85 Infektionen von Organisationen bekannt. Microsoft hat zwischenzeitlich einen Notfall-Patch für einzelne Sharepoint-Server-Versionen veröffentlich.
