Microsoft enthüllt chinesische Staatshacker, die SharePoint-Schwachstellen ausnutzen

Das kritische neue Update von Microsoft enthüllt, dass bestimmte chinesische Bedrohungsgruppen aktiv Schwachstellen in den lokalen SharePoint-Servern des Unternehmens ausnutzen. Nach einem früheren Bericht von Hackread.com, der die Kompromittierung von über 100 Organisationen weltweit aufzeigte, hat Microsoft nun die Hauptverantwortlichen für die Angriffe identifiziert und umfassende Sicherheitsupdates für alle betroffenen SharePoint-Versionen veröffentlicht.

Die aktuellen Cyberangriffe nutzen zwei verschiedene Zero-Day-Schwachstellen aus: CVE-2025-49706 , eine Spoofing-Schwachstelle, die es Angreifern ermöglicht, Systeme auszutricksen, und CVE-2025-49704 , eine Remote Code Execution (RCE)-Schwachstelle, die es Angreifern ermöglicht, Schadcode aus der Ferne auszuführen. Diese Schwachstellen stehen im Zusammenhang mit den bereits erwähnten Schwachstellen CVE-2025-53770 und CVE-2025-53771 .

Die Threat Intelligence-Abteilung von Microsoft bestätigt , dass die chinesischen staatlichen Akteure Linen Typhoon, Violet Typhoon und eine weitere in China ansässige Gruppe namens Storm-2603 diese Schwachstellen ausnutzen. Die beobachteten Angriffe beginnen damit, dass Bedrohungsakteure Aufklärung betreiben und manipulierte POST-Anfragen an den ToolPane-Endpunkt auf SharePoint-Servern senden.

Diese Gruppen sind für Spionage, Diebstahl geistigen Eigentums und den ständigen Angriff auf exponierte Web-Infrastrukturen bekannt. Die Angriffe sind weit verbreitet. CrowdStrike hat seit dem 18. Juli 2025 Hunderte von Angriffsversuchen in über 160 Kundenumgebungen beobachtet .

Linen Typhoon ist seit 2012 aktiv und konzentriert sich auf den Diebstahl geistigen Eigentums aus dem Regierungs-, Verteidigungs- und Menschenrechtssektor. Violet Typhoon, seit 2015 beobachtet, ist auf Spionage gegen ehemaliges Militärpersonal, NGOs und Finanzinstitute spezialisiert, häufig durch die Suche nach und Ausnutzung von Schwachstellen.

Storm-2603 hat bereits Ransomware wie Warlock und Lockbit eingesetzt, ihre aktuellen Ziele mit diesen SharePoint-Exploits werden jedoch noch geprüft. Hier ist eine Zusammenfassung der Aktivitäten dieser Gruppen:

• Chinesische staatlich geförderte Gruppe
• Früher bekannt als Hafnium
• Ziel ist die Regierung, Verteidigung, NGOs und Bildung
• Bekannt für Angriffe auf kritische Infrastruktur und akademische Einrichtungen in den USA
• Zu den bemerkenswerten Aktivitäten zählen die Ausnutzung von Microsoft Exchange-Sicherheitslücken ( ProxyLogon ).

• Chinesischer Bedrohungsakteur
• Früher bekannt als APT41 (je nach Aktivität auch als Barium oder Winnti bekannt)
• Bekannt für eine Mischung aus staatlich unterstützter Spionage und finanziell motivierten Angriffen
• Target konzentriert sich auf die Branchen Gesundheitswesen, Telekommunikation, Software und Gaming
• Bemerkenswerte Aktivitäten : einschließlich Kompromittierungen der Lieferkette, Software-Updates mit Hintertüren

• Vermutlich mit China verbunden
• „Storm“ ist ein temporärer Name, den Microsoft für neu entstehende oder nicht zugeordnete Gruppen verwendet.
• Bekannt für die Ausnutzung von Zero-Day-Schwachstellen in Microsoft-Produkten
• Zielfokus umfasst Regierungs- und Unternehmenssysteme
• Der Status wird untersucht, aber erste Indikatoren deuten auf einen chinesischen Ursprung hin

Den Untersuchungen von Microsoft zufolge setzen Angreifer Web-Shells wie modifizierte spinstall0.aspx-Dateien ein, um kritische IIS-Maschinenschlüssel zu stehlen, mit denen sich die Authentifizierung umgehen lässt. Erste Ausnutzungsversuche datieren bis zum 7. Juli 2025 zurück. Wie die Shadowserver Foundation bereits zuvor anmerkte , ermöglichen diese persistenten Hintertüren Hackern, auch nach Systemaktualisierungen weiterhin Zugriff zu behalten.