Bitdefender Labs: Exploits der „ToolShell“-Sicherheitslücke bestätigt

Die Experten von Bitdefender bestätigen, dass Hacker aktiv die Remote-Code-Execution-(RCE) Schwachstelle CVE-2025-53770 ausnutzen. Die Sicherheitsexperten beobachteten Angriffe in zahlreichen Ländern – darunter in Deutschland, Schweiz und Österreich sowie in den Niederlanden, den Vereinigten Staaten, Kanada, Mexiko, Südafrika und Jordanien.

Angriffe über die „ToolShell“-Sicherheitslücke finden unter anderem in Deutschland, den Niederlanden, USA und Kanada statt. Das haben die Experten bei Bitdefender herausgefunden. Wichtig sind in diesem Kontext die passenden Handlungsempfehlungen und die „Indicators of Compromise“.

Neben dem dringend notwendigen sofortigen Update der On-Premise-Sharepoint-Server empfehlen die Experten die Rotation der ASP.NET-Maschinen-Schlüssel, um kompromittierte Schlüssel zu „devalidieren“. Aktuell sollten IT-Sicherheitsverantwortliche unbedingt ausführbare Prozessketten über w3wp.exe -> cmd -> powershell encodedcommand sowie das Anlegen verdächtiger .aspx-Dateien beobachten: Solche Vorgänge sind deutliche Hinweise auf eine Attacke. Präventiv spielen eine verbesserte Erkennung von Angriffen auf Endpunkte und eine Segmentierung sowie Überwachung der Geräte am Netzwerk-Edge eine wichtige Rolle.

Die Hacker nutzen die Schwäche der Microsoft-SharePoint-Server für eine nicht authentifizierte Remote Code Execution. Die „in the wild“ beobachteten Attacken exfiltrieren ASP.NET-Keys (insbesondere ValidationKey und DecryptionKey). Dafür implementieren sie bösartige ASP.NET-Webshells, um die sensiblen kryptographischen Schlüssel zu extrahieren.
Diese gestohlenen Schlüssel verwenden die Hacker, um _VIEWSTATE-Payloads zu entwerfen und mit einer Signatur zu versehen. Sharepoint-Server akzeptieren diese dann als legitim. Hacker haben damit einen persistenten Zugriff auf die Opfer-IT und sind in der Lage, ihre Kommandos auszuführen. (rhh)

Zur ausführlichen Analyse von Bitdefender