SharePoint-Angriffe: Zwei Hacker-Gruppen nutzen Zero-Day-Kette aus
25.06.2026 - 14:25:06 | boerse-global.de
Zwei Hacker-Gruppen haben zeitgleich Schwachstellen in Microsoft SharePoint ausgenutzt – mit verheerenden Folgen für Unternehmen weltweit.
Das Microsoft Detection and Response Team (DART) veröffentlichte am gestrigen Mittwoch einen detaillierten Sicherheitsbericht zu einem raffinierten Angriff auf lokale SharePoint-Server. Zwei unabhängige Bedrohungsakteure drangen gleichzeitig in dieselben Systeme ein, um Ransomware zu verbreiten und sensible Firmendaten zu stehlen.
Zwei Gruppen, ein Ziel
Die Sicherheitsexperten identifizierten eine bekannte Gruppe mit dem Codenamen Storm-2603 sowie einen zweiten, bislang unbekannten Akteur. Beide waren zeitgleich in den betroffenen Netzwerken aktiv – verfolgten dabei aber unterschiedliche Strategien.
Storm-2603, seit Mitte 2025 aktiv, nutzte gleich mehrere Sicherheitslücken aus: CVE-2025-49706, CVE-2025-49704 und CVE-2025-11371. Die Gruppe setzte spezialisierte Werkzeuge wie Velociraptor ein und sicherte sich dauerhaften Zugriff über Cloudflare-Tunnel, Zoho Assist und VS Code SSH. Besonders perfide: Die Hacker verwendeten die sogenannte „Bring Your Own Vulnerable Driver"-Technik (BYOVD) mit dem Treiber NSecKrnl.sys, um Sicherheitsmaßnahmen zu umgehen.
Der zweite Angreifer konzentrierte sich auf den Diebstahl von Zugangsdaten. Er zielte gezielt auf die Active-Directory-Datenbank ab und erbeutete die Datei NTDS.dit – komprimiert in ein ZIP-Archiv. Zur Bewegung im Netzwerk nutzte die Gruppe Windows Remote Management (WinRM).
Zero-Day-Kette bedroht Unternehmen weltweit
Sicherheitsforscher haben eine besorgniserregende Entwicklung identifiziert: Eine sogenannte ToolShell-Kette aus den Schwachstellen CVE-2025-53770 und CVE-2025-53771 erlaubt nicht authentifizierte Remote-Codeausführung auf SharePoint Server 2016, 2019 und Subscription Edition.
Angesichts solch raffinierter Hacker-Angriffe auf Unternehmensserver ist ein proaktiver Schutz der IT-Infrastruktur heute wichtiger denn je. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen zum Schutz Ihres Unternehmens erfüllen. IT-Sicherheit stärken und Unternehmen vor Cyberangriffen schützen
Neben Storm-2603 sind mehrere China-nahe Gruppen wie Linen Typhoon, Violet Typhoon und LuckyMouse mit den Angriffen in Verbindung gebracht worden. Die Attacken erstrecken sich über ein breites geografisches Gebiet – betroffen sind Organisationen in den USA, Deutschland, der Schweiz, den Niederlanden, Kanada, Südafrika, Österreich, Jordanien und Mexiko.
Das Hauptziel der Kampagnen: die Verbreitung der Ransomware-Varianten Warlock und 4L4MD4R. Die Angreifer nutzen Web-Shells, um ASP.NET-MachineKeys zu stehlen. Damit können sie Authentifizierungstoken fälschen und sich dauerhaften Zugriff verschaffen.
Da immer mehr Unternehmen Opfer von Cyberangriffen durch Ransomware und Datendiebstahl werden, ist eine sofortige Risikoanalyse unumgänglich. Experten erklären in diesem kostenlosen Report, wie Sie sich proaktiv absichern können, bevor es zu einem folgenschweren Sicherheitsvorfall kommt. Kostenlose Checkliste zur Abwehr von Cyberbedrohungen jetzt sichern
Sofortiges Handeln erforderlich
Microsoft empfiehlt Unternehmen, die noch lokale SharePoint-Server betreiben, die identifizierten Sicherheitslücken umgehend zu schließen. Der DART-Bericht betont die Bedeutung von Identitätsschutz und robuster Endpunktsicherheit, um die spezifischen Techniken der Gruppen zu erkennen – etwa DLL-Sideloading und die Erstellung nicht autorisierter Administrator-Konten.
Die Zunahme von SharePoint-Vorfällen fällt in eine phase erhöhter Aktivität von russlandnahen und China-orientierten Bedrohungsakteuren. Erst am Dienstag hatten Microsofts Digital Crimes Unit und Europol erfolgreich die Infrastruktur der Malware-Netzwerke StealC und Amadey zerschlagen.
