Am 19. Juli 2025 meldete Microsoft, dass Cyberkriminelle zwei gefährliche Sicherheitslücken in Sharepoint ausgenutzt hatten. ToolShell, so die offzielle Bezeichnung für die Lücken, besteht aus den Schwachstellen CVE 2025 53770 (Remote Code Execution) und CVE 2025 53771 (Server Spoofing). Diese Schwachstellen erlauben es, lokale Server zu kompromittieren und Daten zu stehlen. Anfällig sind nur lokale SharePoint Versionen (Subscription Edition, 2019, 2016). SharePoint Online ist nicht betroffen. 

Bereits ab dem 17. Juli wurden die Lücken massenhaft ausgenutzt. Kriminelle und staatliche Gruppen kombinieren sie mit den beiden anderen Schwachstellen CVE 2025 49704 und CVE 2025 49706. Sie umgehen damit SSO und MFA und installieren Webshells zum Datenabzug.

Webshells und erste Angriffe: Deutschland, Italien, USA im Visier

Eine beobachtete Payload trägt den Namen spinstall0.aspx und wird von ESET als MSIL/Webshell.JS erfasst. Weitere Webshells – darunter ghostfile346.aspx oder ghostfile972.aspx – führen Befehle über cmd.exe aus. Die ESET Telemetrie registrierte am 17. Juli in Deutschland erste Exploitversuche und am 18. Juli die erste Webshell auf einem Server in Italien. Die Kampagne verbreitet sich weltweit. 13 Prozent der Angriffe trafen laut Telemetrie die USA.

Laut Microsoft nutzen auch China nahe APT Gruppen die ToolShell Exploits. ESET entdeckte auf einem Server in Vietnam eine Hintertür der Gruppe LuckyMouse. Diese Gruppe attackiert vor allem Regierungen und Telekommunikationsunternehmen. Die Angreifer setzen die Exploits gezielt gegen hochrangige Organisationen ein, die seit längerem im Visier dieser Gruppen stehen.

Wie betroffene Unternehmen nun vorgehen sollten

Microsoft hat die Schwachstellen am 22. Juli gepatcht. Organisationen sollten nur unterstützte SharePoint Versionen nutzen, Updates sofort installieren und AMSI aktivieren. Zudem rät Microsoft, die ASP.NET Maschinenschlüssel des Servers zu wechseln. Wer diese Schritte unterlässt, riskiert weitere Angriffe.

ToolShell zeigt, wie sich mehrere Schwachstellen zu einer gefährlichen Kette verbinden lassen. Sicherheitsverantwortliche müssen ihre Systeme kontinuierlich überwachen und Patches zügig einspielen. Auch verhaltensbasierte Analyse hilft, neuartige Angriffe zu erkennen.