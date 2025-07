ESET Deutschland GmbH

Deutschland als erstes Ziel: ESET warnt vor globaler Angriffswelle auf Microsoft-Server durch chinesische Hackergruppen

Jena (ots)

Deutschland war das erste Land, in dem der IT-Sicherheitshersteller ESET einen gezielten Angriff auf Microsoft-SharePoint-Server mit einer bis dahin unbekannten Schwachstelle registrierte. Der Angriff am 17. Juli 2025 gilt als Ausgangspunkt einer international eskalierenden Kampagne, bei der Cyberkriminelle - darunter auch staatlich unterstützte Hackergruppen aus China - auf bislang ungepatchte Systeme zugreifen. Die Angriffskette, intern von ESET als ToolShell bezeichnet, nutzt mehrere Zero-Day-Lücken in Microsofts SharePoint-Software aus, um sich tief in Unternehmensnetzwerke einzuschleusen.

"Unsere Systeme registrierten die erste versuchte Ausnutzung dieser Schwachstelle in Deutschland - einen Tag bevor die Angriffe weltweit Fahrt aufnahmen", sagt Andy Garth, Director of Government Affairs bei ESET. "Dass sich nun auch staatlich unterstützte Gruppen daran beteiligen, zeigt die hohe Attraktivität dieses Angriffsvektors."

Gezielte Angriffe auf Unternehmen, Behörden und kritische Infrastruktur

Laut ESET entfällt inzwischen rund 40 Prozent aller globalen zielgerichteten Cyberangriffe auf Gruppen, die mit chinesischen Staatsinteressen in Verbindung stehen. Diese sogenannten Advanced Persistent Threats (APTs) setzen gezielt auf neu entdeckte Schwachstellen, um in Regierungsnetze, Industrieanlagen und sensible Infrastrukturen einzudringen. Die ToolShell-Angriffe sind ein typisches Beispiel für dieses Vorgehen - professionell organisiert, hoch automatisiert und technisch ausgefeilt.

So funktioniert der Angriff

Die ToolShell-Kampagne nutzt mehrere miteinander verknüpfte Sicherheitslücken, darunter:

CVE-2025-53770 (Remote Code Execution)

CVE-2025-53771 (Server-Spoofing)

sowie zwei zuvor gepatchte Lücken: CVE-2025-49704 und CVE-2025-49706

Ziel der Angreifer sind vor allem lokal betriebene SharePoint-Server (Versionen 2016, 2019 und Subscription Edition). Die Cloud-Variante SharePoint Online ist laut Microsoft nicht betroffen.

Einmal kompromittiert, schleusen die Angreifer sogenannte Webshells ein - darunter die Skripte spinstall0.aspx oder die ghostfile-Reihe - mit denen sich beliebige Befehle auf dem Server ausführen lassen. Die Angriffe können außerdem die Zwei-Faktor-Authentifizierung und das Single Sign-on umgehen. Über Microsoft 365-Dienste wie Outlook, OneDrive oder Teams können sich die Angreifer dann lateral im Netzwerk ausbreiten.

"In einem Fall konnten wir eine Backdoor identifizieren, die typischerweise von der bekannten chinesischen APT-Gruppe LuckyMouse eingesetzt wird", so Garth. "Diese Gruppen nutzen neue Schwachstellen besonders schnell und gezielt, um sich Zugang zu hochsensiblen Systemen zu sichern."

ESET empfiehlt dringend folgende Maßnahmen:

Nur noch unterstützte SharePoint-Versionen verwenden

Alle Sicherheitsupdates umgehend einspielen

Antivirenlösung mit aktiver AMSI-Integration verwenden

ASP.NET-Maschinenschlüssel regelmäßig rotieren, um Zugriffsverlängerung zu verhindern

EDR-Lösungen einsetzen, um verdächtige Prozesse frühzeitig zu erkennen

Mitarbeitende regelmäßig zu Phishing und Social Engineering sensibilisieren

"Die ToolShell-Kampagne zeigt, wie schnell aus einer technischen Schwachstelle eine geopolitisch relevante Bedrohung werden kann", warnt Garth. "Unternehmen und Behörden in Deutschland sollten sich bewusst sein: Sie waren das erste Ziel - und bleiben im Fokus."

Original-Content von: ESET Deutschland GmbH, übermittelt durch news aktuell