Deutschland als erstes Ziel: ESET warnt vor globaler Angriffswelle auf Microsoft-Server durch chinesische Hackergruppen
(ots) - Deutschland war das erste Land, in dem der IT-Sicherheitshersteller ESET einen gezielten Angriff auf Microsoft-SharePoint-Server mit einer bis dahin unbekannten Schwachstelle registrierte. Der Angriff am 17. Juli 2025 gilt als Ausgangspunkt einer international eskalierenden Kampagne, bei der Cyberkriminelle - darunter auch staatlich unterstützte Hackergruppen aus China - auf bislang ungepatchte Systeme zugreifen. Die Angriffskette, intern von ESET als ToolShell bezeichnet, nutzt mehrere Zero-Day-Lücken in Microsofts SharePoint-Software aus, um sich tief in Unternehmensnetzwerke einzuschleusen.
"Unsere Systeme registrierten die erste versuchte Ausnutzung dieser Schwachstelle in Deutschland - einen Tag bevor die Angriffe weltweit Fahrt aufnahmen", sagt Andy Garth, Director of Government Affairs bei ESET."Dass sich nun auch staatlich unterstützte Gruppen daran beteiligen, zeigt die hohe Attraktivität dieses Angriffsvektors."
Gezielte Angriffe auf Unternehmen, Behörden und kritische Infrastruktur
Laut ESET entfällt inzwischen rund 40 Prozent aller globalen zielgerichteten Cyberangriffe auf Gruppen, die mit chinesischen Staatsinteressen in Verbindung stehen. Diese sogenannten Advanced Persistent Threats (APTs) setzen gezielt auf neu entdeckte Schwachstellen, um in Regierungsnetze, Industrieanlagen und sensible Infrastrukturen einzudringen. Die ToolShell-Angriffe sind ein typisches Beispiel für dieses Vorgehen - professionell organisiert, hoch automatisiert und technisch ausgefeilt.
So funktioniert der Angriff
Die ToolShell-Kampagne nutzt mehrere miteinander verknüpfte Sicherheitslücken, darunter:
- CVE-2025-53770 (Remote Code Execution)
- CVE-2025-53771 (Server-Spoofing)
- sowie zwei zuvor gepatchte Lücken: CVE-2025-49704 und CVE-2025-49706
Ziel der Angreifer sind vor allem lokal betriebene SharePoint-Server (Versionen 2016, 2019 und Subscription Edition). Die Cloud-Variante SharePoint Online ist laut Microsoft nicht betroffen.
Einmal kompromittiert, schleusen die Angreifer sogenannte Webshells ein - darunter die Skripte spinstall0.aspx oder die ghostfile-Reihe - mit denen sich beliebige Befehle auf dem Server ausführen lassen. Die Angriffe können außerdem die Zwei-Faktor-Authentifizierung und das Single Sign-on umgehen. Über Microsoft 365-Dienste wie Outlook, OneDrive oder Teams können sich die Angreifer dann lateral im Netzwerk ausbreiten.
"In einem Fall konnten wir eine Backdoor identifizieren, die typischerweise von der bekannten chinesischen APT-Gruppe LuckyMouse eingesetzt wird", so Garth."Diese Gruppen nutzen neue Schwachstellen besonders schnell und gezielt, um sich Zugang zu hochsensiblen Systemen zu sichern."
ESET empfiehlt dringend folgende Maßnahmen:
- Nur noch unterstützte SharePoint-Versionen verwenden
- Alle Sicherheitsupdates umgehend einspielen
- Antivirenlösung mit aktiver AMSI-Integration verwenden
- ASP.NET-Maschinenschlüssel regelmäßig rotieren, um Zugriffsverlängerung zu verhindern
- EDR-Lösungen einsetzen, um verdächtige Prozesse frühzeitig zu erkennen
- Mitarbeitende regelmäßig zu Phishing und Social Engineering sensibilisieren
"Die ToolShell-Kampagne zeigt, wie schnell aus einer technischen Schwachstelle eine geopolitisch relevante Bedrohung werden kann", warnt Garth."Unternehmen und Behörden in Deutschland sollten sich bewusst sein: Sie waren das erste Ziel - und bleiben im Fokus."
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication&PR DACH
+49 (0)3641 3114-269
christian.lueg(at)eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte(at)eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum(at)eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Original-Content von: ESET Deutschland GmbH,übermittelt durch news aktuell
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Datum: 25.07.2025 - 10:15 Uhr
Sprache: Deutsch
News-ID 2187253
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Jena
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 2 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Deutschland als erstes Ziel: ESET warnt vor globaler Angriffswelle auf Microsoft-Server durch chinesische Hackergruppen"
steht unter der journalistisch-redaktionellen Verantwortung von
ESET Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).