Pressemitteilung von Censys, Inc.TM

Sicherheitslücken in Microsoft SharePoint und Exchange: insgesamt 108.447 potenziell betroffene Instanzen

---

---

Zuletzt wurden zwei schwerwiegende Sicherheitslücken in Produkten von Microsoft bekannt, die jeweils unterschiedliche, aber gleichermaßen kritische Angriffsflächen betreffen. Eine Analyse von Censys, einem der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, zeigt, wie groß die potenzielle Gefährdung ist. Viele der insgesamt 108.447 potenziell betroffenen Instanzen befinden sich in Mitteleuropa.

Kritische Lücke in SharePoint-Servern

Die Schwachstelle CVE-2025-53770 betrifft Microsoft SharePoint-Server und wird mit einem hohen CVSS-Score von 9,8 als äußerst kritisch eingestuft. Sie ermöglicht die unauthentifizierte Ausführung von Remote Code auf On-Premises-Servern. Über eine Lücke im Endpoint /_layouts/15/ToolPane.aspx können Angreifer schädliche Dateien direkt auf den Server schreiben. Anschließend können sie sensible kryptografische Schlüssel aus den Konfigurationsdateien extrahieren. Mit diesen Schlüsseln lassen sich legitim aussehende, signierte Payloads generieren, die eine vollständige Kontrolle über den Server ermöglichen.

Eine Analyse von Censys zeigt: Anfang August waren 9.762 aktive On-Premises-SharePoint-Server im Internet sichtbar, die potenziell verwundbar sind - ein Großteil davon in Europa. Über die verschiedenen Censys-Plattformen kann gezielt nach potenziell verwundbaren Servern gesucht werden. Für die betroffenen Geräte wurden Informationen zu den Versionen erfasst; anhand der zur Verfügung stehenden Daten ist jedoch nicht feststellbar, ob die erforderlichen Patches erfolgreich auf die Instanzen angewendet wurden. Daher sind auch keine Rückschlüsse darauf möglich, ob die Instanzen tatsächlich anfällig für die Schwachstelle sind.

Schwachstelle in Exchange-Hybrid-Umgebungen

Auch die Sicherheitslücke CVE-2025-53786 sorgt für Aufmerksamkeit. Mit einem CVSS-Score von 8,0 ermöglicht sie es Angreifern mit bestehenden Administratorrechten, ihre Berechtigungen innerhalb der verbundenen Cloud-Umgebung eines Unternehmens auszudehnen. Dies ist aufgrund von gemeinsamen Dienstprinzipalen in Hybridkonfigurationen möglich. Die Sicherheitslücke betrifft nur On-Premises-Exchange-Server, die in einer hybriden Exchange-Bereitstellung konfiguriert sind - also Bereitstellungen, die Exchange-Server mit Exchange Online in Microsoft 365 kombinieren. Eine erfolgreiche Ausnutzung der Schwachstelle kann unbefugte Kontrolle über Exchange-Online-Dienste ermöglichen. Sowohl Microsoft als auch die CISA haben bereits Sicherheitswarnungen mit dringenden Maßnahmen zur Schadensbegrenzung veröffentlicht.

Das Censys Research Team konnte in seiner Analyse insgesamt 98.685 On-Premises-Exchange-Server beobachten, die online erreichbar und potenziell betroffen sind. Auch hier sind zwar Rückschlüsse auf die Versionen der Geräte möglich; ob ein Exchange-Server in einer Hybrid-Umgebung bereitgestellt wird oder welche CU auf eine exponierte Instanz angewendet wurde, ist aber nicht feststellbar. Daher sollten alle diese Instanzen als potenziell anfällig betrachtet werden. Besonders viele Fälle wurden ebenfalls in Mitteleuropa beobachtet.

Erfahren Sie mehr zu den beiden Schwachstellen und den Analysen von Censys: https://censys.com/advisory/cve-2025-53770 und https://censys.com/advisory/cve-2025-53786.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt