Bei CVE-2025-53770 handelt es sich um eine mit 9.8 von 10 Punkten im Common Vulnerability Scoring System bewertete, kritische Schwachstelle. Sie erlaubt einem nicht authentisierten Angreifer die Ausführung von Code aus der Ferne. In den beobachteten Attacken wurde diese Lücke zusammen mit CVE-2025-53771 ausgenutzt, einer mit 6.3 Punkten bewerteten Verwundbarkeit, die Spoofing-Angriffe über ein Netzwerk ermöglicht.
Besorgniserregend ist, dass Angreifer es geschafft haben, die mit dem Juli-Patchday etablierten Schutzmaßnahmen zu umgehen. Die bisherigen Updates reichen damit nicht mehr aus. Die Installation der von Microsoft veröffentlichten Notfall-Updates ist zwingend erforderlich. Eine erfolgreiche Ausnutzung der öffentlich als ToolShell bekannten Schwachstellen verschafft Angreifern Zugriff auf MachineKey-Konfigurationsdetails verwundbarer SharePoint-Server. Darüber hinaus können sie vollständigen Zugriff auf SharePoint-Inhalte erlangen – einschließlich Dateisystemen, internen Konfigurationen und der Möglichkeit, beliebigen Code auszuführen.
Warum uns ToolShell länger beschäftigen wird
Das Muster ist bekannt. Eine Lücke wird entdeckt, ein Patch veröffentlicht, und doch finden Angreifer Wege, diesen zu umgehen. Die Ursache liegt in der Komplexität moderner Systeme. Ein Update ist keine versiegelte Tür, sondern oft nur ein provisorischer Riegel, den geschickte Angreifer mit genügend Zeit und Motivation überwinden. Wer glaubt, dass ein eingespieltes Update das Thema erledigt, unterschätzt die Dynamik von Bedrohungen.