Am Wochendende vom 19. Juli wurde eine äusserst kritische Sicherheitslücke im SharePoint bekannt, die aktiv ausgenutzt wird und für die es keinen Security-Patch gab bis zum folgenden Montagmorgen. Aus diesem Grund hatten wir am Sonntagabend sämtliche SharePoint Server vom Internet getrennt.
Die Sicherheitslücke CVE-2025-53770 hat ein CVSS-Rating 9,8 (kritisch). Sie wurde aktiv ausgenutzt auf allen SharePoint Servern, die im Internet erreichbar waren. Microsoft und Antivirus-Hersteller hatten empfohlen, sofort alle SharePoint Server vom Internet zu trennen. Das haben wir unmittelbar gemacht am Sonntagabend. Deshalb waren die SharePoint Server für unsere Kunden einige Stunden nicht erreichbar aus dem Internet.
Zusätzlicher Schutz vor künftigen Sicherheitslücken im SharePoint (Donnerstag 24.7. 16:50 Uhr)
Als weitere Schutzmassnahme werden unsere SharePoint Server durch einen Web Application Proxy geschützt, welcher eine zusätzliche Preauthentication erfordert. Damit sind die SharePoint Server mehr nicht über das Internet erreichbar, sondern ausschliesslich durch eine Schutzschleuse (den Proxy), an dem sich jeder Anwender authentifizieren muss. Dies ist ein etablierter und wirksamer Schutz vor künftigen Sicherheitslücken, damit diese nicht über das Internet ausgenutzt werden können. Als Anwender werden Sie nichts von dieser zusätzlichen Preauthentication merken und können wie bisher mit dem SharePoint Server arbeiten.
Falls Sie SharePoint-Automatisierungen haben, die nicht bei uns betrieben werden, können diese ab jetzt möglicherweise nicht mehr mit dem SharePoint verbinden. In diesem Fall kontaktieren Sie bitte unseren Support via info@sphosting.ch.
Status Update Mittwoch 23.7. 18:15 Uhr
Als weitere Sicherheitsmassnahme haben wir die Passwörter von sämtlichen Service-Accounts geändert.
Status Update Dienstag 22.7. 13:48 Uhr
SharePoint Server 2016 ist jetzt wieder über das Internet erreichbar sein. Wir haben die verfügbaren Security-Patches installiert und die zusätzlich empfohlenen Schutzmassnahmen umgesetzt (MachineKeys sind geändert).
Status Update Montag 21.7. 17:11 Uhr
Für SharePoint 2016 ist noch kein Patch verfügbar. Ältere SharePoint Versionen sind End of Life und werden keinen Security Patch erhalten.
Wir sind aktuell eine Lösung am Einrichten, um die SharePoint Server ohne Security-Patch zu schützen durch ein Proxy-System, und so wieder zugänglich zu machen. Der SharePoint Server ist dann nicht mehr direkt im Internet erreichbar, sondern nur noch, wenn man sich bei dem Proxy-System erfolgreich angemeldet hat. Die Lösung sollte im Laufe vom Dienstag in Betrieb genommen werden können.
Status Update Montag 21.7. 9:46 Uhr
SharePoint Server 2019 und Subscription Edition sind wieder über das Internet erreichbar. Die Security-Patches wurden erfolgreich installiert. Die zusätzlich empfohlenen Schutzmassnahmen haben wir umgesetzt (MachineKeys sind geändert).
Status Update Montag 21.7. 7 Uhr
Mittlerweile hat Microsoft Security-Patches für SharePoint 2019 und Subscription Edition veröffentlicht. Wir installieren diese jetzt gerade. SharePoint Server 2019 und Subscription Edition sollten in wenigen Stunden wieder verfügbar sein.
Weiterführende Infos
Heise.de: Kritische Sharepoint-Sicherheitslücke: Erste Patches für "ToolShell" sind da (21. Juli 2025)
Heise.de: Microsoft: Angriffe auf neue Sharepoint-Lücke – bislang kein Patch verfügbar (20. Juli 2025)
Blog-Beitrag von Microsoft zur SharePoint vulnerability CVE-2025-53770 (laufend aktualisiert)