Cyberangriff auf Microsoft-Server: Deutschland im Fokus chinesischer Hackergruppen
Aus Prepaid-Wiki
Navigationsmenü
Anzeige
Cyberangriff auf Microsoft-Server: Deutschland im Fokus chinesischer Hackergruppen
Erstellt am 28.07.2025 von Mike BauerfeindAm 17. Juli 2025 wurde Deutschland zum Ausgangspunkt einer globalen Cyberkampagne, die gezielt Microsoft-SharePoint-Server ins Visier nahm. Der IT-Sicherheitsanbieter ESET registrierte als erster einen Angriff auf eine bislang unbekannte Schwachstelle in der SharePoint-Software. Die Attacke, intern als ToolShell bezeichnet, nutzt mehrere sogenannte Zero-Day-Lücken, um sich tief in Unternehmensnetzwerke einzuschleusen. Besonders brisant: Auch staatlich unterstützte Hackergruppen aus China sind an der Kampagne beteiligt.
Die Bedrohung ist nicht nur technischer Natur – sie hat geopolitische Dimensionen. Laut ESET entfällt mittlerweile rund 40 Prozent aller globalen, zielgerichteten Cyberangriffe auf Gruppen, die mit chinesischen Staatsinteressen in Verbindung stehen. Diese sogenannten Advanced Persistent Threats (APTs) agieren hochprofessionell, automatisiert und mit ausgefeilter Technik. Deutschland war das erste Ziel – und bleibt im Fokus.
Was ist die ToolShell-Kampagne?
Die ToolShell-Kampagne ist eine komplexe Angriffskette, die mehrere Sicherheitslücken miteinander kombiniert. Ziel sind vor allem lokal betriebene SharePoint-Server der Versionen 2016, 2019 und Subscription Edition. Die Cloud-Variante SharePoint Online ist laut Microsoft nicht betroffen.
Folgende Schwachstellen werden ausgenutzt:
- CVE-2025-53770: Kritische Remote-Code-Execution-Lücke
- CVE-2025-53771: Server-Spoofing zur Umgehung von Authentifizierungen
- CVE-2025-49704 und CVE-2025-49706: Bereits gepatchte Schwachstellen, die dennoch Teil der Angriffskette sind
Nach erfolgreicher Kompromittierung schleusen die Angreifer sogenannte Webshells wie spinstall0.aspx oder die ghostfile-Reihe ein. Diese ermöglichen die Ausführung beliebiger Befehle auf dem Server. Besonders gefährlich: Die Angriffe umgehen Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung und Single Sign-on. Über Dienste wie Outlook, OneDrive oder Teams können sich die Angreifer anschließend lateral im Netzwerk ausbreiten.
Wer steckt hinter den Angriffen?
Die Angriffe werden unter anderem der bekannten chinesischen APT-Gruppe LuckyMouse zugeschrieben. Diese Gruppe ist bekannt für ihre Fähigkeit, neue Schwachstellen schnell und gezielt auszunutzen, um sich Zugang zu hochsensiblen Systemen zu verschaffen. Auch andere Gruppen wie Linen Typhoon und Violet Typhoon sind laut Microsoft aktiv an der Kampagne beteiligt. Weitere Informationen zu diesen Gruppen finden Sie auf der Seite von Microsoft Security Blog.
Empfohlene Schutzmaßnahmen
Angesichts der Bedrohungslage empfiehlt ESET dringend folgende Sicherheitsmaßnahmen:
- Verwenden Sie ausschließlich unterstützte SharePoint-Versionen
- Installieren Sie Sicherheitsupdates umgehend
- Setzen Sie eine Antivirenlösung mit AMSI-Integration ein
- Rotieren Sie regelmäßig Ihre ASP.NET-Maschinenschlüssel
- Nutzen Sie EDR-Lösungen zur frühzeitigen Erkennung verdächtiger Prozesse
- Schulen Sie Ihre Mitarbeitenden regelmäßig zu Phishing und Social Engineering
Die ToolShell-Kampagne zeigt eindrucksvoll, wie schnell aus einer technischen Schwachstelle eine geopolitisch relevante Bedrohung werden kann. Unternehmen und Behörden in Deutschland sollten sich der Tatsache bewusst sein: Sie waren das erste Ziel – und bleiben im Visier international agierender Hackergruppen.
- hacker-2371490_640: © pixabay/TheDigitalArtist/Public Domain/
Anzeige
- Der Inhalt ist verfügbar unter der Lizenz Attribution-NonCommercial 3.0 Unported, sofern nicht anders angegeben.
- Datenschutz
- Impressum
- Haftungsausschluss
- Nutzungsbedingungen
Schreibe einen Kommentar