Deutschland als erstes Ziel: ESET warnt vor globaler Angriffswelle auf Microsoft Server durch chinesische Hackergruppen

Deutschland als erstes Ziel: ESET warnt vor globaler Angriffswelle auf Microsoft Server durch chinesische Hackergruppen

• Zero Day Schwachstellen in Microsoft »SharePoint« werden weltweit ausgenutzt

Jena, PTS, 25. Juli 2025

Deutschland war das erste Land, in dem der IT Sicherheitshersteller ESET einen gezielten Angriff auf #Microsoft #»SharePoint« #Server mit einer bis dahin unbekannten Schwachstelle registrierte. Der Angriff am 17. Juli 2025 gilt als Ausgangspunkt einer international eskalierenden Kampagne, bei der #Cyberkriminelle – darunter auch staatlich unterstützte Hackergruppen aus #China – auf bislang ungepatchte Systeme zugreifen. Die Angriffskette, intern von ESET als ToolShell bezeichnet, nutzt mehrere #Zero #Day Lücken in Microsofts »SharePoint« Software aus, um sich tief in Unternehmensnetzwerke einzuschleusen.

»Unsere Systeme registrierten die erste versuchte Ausnutzung dieser Schwachstelle in Deutschland – einen Tag bevor die Angriffe weltweit Fahrt aufnahmen«, sagt Andy Garth, Director of Government Affairs bei #ESET. »Dass sich nun auch staatlich unterstützte Gruppen daran beteiligen, zeigt die hohe Attraktivität dieses Angriffsvektors.«

Gezielte Angriffe auf Unternehmen, Behörden und kritische Infrastruktur

Laut ESET entfällt inzwischen rund 40 Prozent aller globalen zielgerichteten Cyberangriffe auf Gruppen, die mit chinesischen Staatsinteressen in Verbindung stehen. Diese sogenannten Advanced Persistent Threats (APTs) setzen gezielt auf neu entdeckte Schwachstellen, um in Regierungsnetze, Industrieanlagen und sensible Infrastrukturen einzudringen. Die ToolShell Angriffe sind ein typisches Beispiel für dieses Vorgehen – professionell organisiert, hoch automatisiert und technisch ausgefeilt.

So funktioniert der Angriff

Die »ToolShell« Kampagne nutzt mehrere miteinander verknüpfte Sicherheitslücken, darunter …

• CVE 2025 53770 (Remote Code Execution)

• CVE 2025 53771 (Server Spoofing)

• Zwei zuvor gepatchte Lücken: CVE 2025 49704 und CVE 2025 49706

Ziel der Angreifer sind vor allem lokal betriebene SharePoint Server (Versionen 2016, 2019 und #Subscription Edition). Die #Cloud Variante »SharePoint« Online ist laut Microsoft nicht betroffen.

Einmal kompromittiert, schleusen die Angreifer sogenannte Webshells ein – darunter die Skripte spinstall0.aspx oder die ghostfile Reihe – mit denen sich beliebige Befehle auf dem Server ausführen lassen. Die Angriffe können außerdem die Zwei Faktor Authentifizierung und das Single Sign on umgehen. Über Microsoft 365 Dienste wie Outlook, OneDrive oder Teams können sich die Angreifer dann lateral im Netzwerk ausbreiten.

»In einem Fall konnten wir eine Backdoor identifizieren, die typischerweise von der bekannten chinesischen APT Gruppe LuckyMouse eingesetzt wird«, so Garth. »Diese Gruppen nutzen neue Schwachstellen besonders schnell und gezielt, um sich Zugang zu hochsensiblen Systemen zu sichern.«

ESET empfiehlt dringend folgende Maßnahmen

• Nur noch unterstützte »SharePoint« Versionen verwenden

• Alle Sicherheitsupdates umgehend einspielen

• Antivirenlösung mit aktiver AMSI Integration verwenden

• ASP.NET Maschinenschlüssel regelmäßig rotieren, um Zugriffsverlängerung zu verhindern

• EDR Lösungen einsetzen, um verdächtige Prozesse frühzeitig zu erkennen

• Mitarbeiter regelmäßig zu #Phishing und #Social #Engineering sensibilisieren

»Die ›ToolShell‹ Kampagne zeigt, wie schnell aus einer technischen Schwachstelle eine geopolitisch relevante Bedrohung werden kann«, warnt Garth. »Unternehmen und Behörden in Deutschland sollten sich bewusst sein: Sie waren das erste Ziel – und bleiben im Fokus.«

Weitere Informationen gibt es in ESETs neuem Blogpost auf welivesecurity.com.

Content bei Gütsel Online …