Toolshell: Updates für zwei Sharepoint-Versionen
21. Juli 2025
Für die Sharepoint-Sicherheitslücke Toolshell gibt es nun erste Patches für die On-Premise-Versionen des Kollaborationswerkzeugs. Allerdings sollten Administratoren müssen weitere Aktionen ausführen, um eventuell vorhandene Hintertüren zu beseitigen.
Zum Thema kritische Lücke „Toolshell“ gibt es eine teilweise Entwarnung: Für Sharepoint Server Subscription Edition gibt es eine Aktualisierung (KB5002768), für Sharepoint Server 2019 ebenso (KB5002754). Dagegen bleibt Sharepoint 2016 vorerst noch ohne Update. Microsofts Cloud-Angebote in Sahen Sharepoint-Server sind nicht betroffen, lediglich On-Premise-Installationen sind gefährdet. Deren Systembetreuer sollten schnellstens handeln.
Microsoft weist ausdrücklich darauf hin, dass nach der Aktualisierung in jedem Fall die ASP.Net Machine Keys „angefasst“ werden müssen, sprich es gehört ein Neustart des IIS ausgeführt. Dies lässt sich mit Hilfe von Powershell-Commandlets ausführen, die auf den Hilfeseiten zu ToolShell zu finden sind.
Laut heise.de handelt es sich bei der Sicherheitslücke mit der CVE-ID CVE-2025-53770 um eine Variante der auf der Pwn2Own Berlin genutzten Lücken CVE-2025-49706 & CVE-2025-49704. Sie erlaubt mit einer HTTP-Anfrage aus der Ferne die Übernahme des Sharepoint-Servers. Wenn Angreifer an der richtigen Stelle ein Systemkommando einschleusen, können sie die Systeme übernehmen und die Machine Keys abziehen. Mit diesen ist es möglich, sich dauerhaften Zugriff auf den Sharepoint-Server zu sichern. Sicherheitsverantwortliche sollten auf jeden Fall davon ausgehen, dass das Unternehmen gehackt worden ist, bevor Unternehmen ein Patch von Microsoft installieren. (rhh)
