Thought Leadership
Eine Untersuchung von Microsoft zeigt, dass zwei unterschiedliche Angreifer parallel Schwachstellen in lokalen SharePoint-Servern ausnutzen.
Das Microsofts Incident Response Team (DART) hat im Rahmen einer Untersuchung festgestellt, dass zwei voneinander unabhängige Akteure gleichzeitig in derselben kompromittierten Systemumgebung active waren. Die Angriffe richteten sich gegen lokale SharePoint-Server, bei denen bekannte und bereits öffentlich dokumentierte Sicherheitslücken ausgenutzt wurden. Während der Untersuchung einer mehrstufigen Infiltration stellten die Analysten fest, dass sich die Aktivitäten auf eine zweite Organisation ausgedehnt hatten. Diese bestätigte die Kompromittierung durch dieselbe Ransomware-Gruppe, die von Microsoft unter der Kennung Storm-2603 geführt wird. Durch die Zusammenarbeit mit Microsoft Threat Intelligence wurde schließlich das Ausmaß der parallelen Angriffe des zweiten, nicht damit in Verbindung stehenden Akteurs aufgedeckt.
Die Ermittler äußerten sich in ihrem Bericht wie folgt zu der Komplexität der Erkennung: „Zwei verschiedene Bedrohungsaktivitätsströme operierten parallel und nicht nacheinander, was ihre Erkennung in Isolation erschwerte,“ Erst durch das Zusammenführen von Identitäts-, Endpunkt- und Cloud-Telemetriedaten konnte das vollständige Lagebild rekonstruiert werden.
Vorgehensweise von Storm-2603 und dem Zweitakteur
Die Gruppe Storm-2603 nimmt bereits seit Mitte des Jahres 2025 gezielt lokale SharePoint-Server ins Visier und nutzt dafür bekannte Schwachstellen aus, für die Sicherheitsupdates zur Verfügung stehen. Der zweite, unabhängige Angreifer wählte eine andere Methodik, um im Netzwerk unentdeckt zu bleiben und einen dauerhaften Zugriff zu etablieren.
Die Sicherheitsanalysten wiesen Spuren von sogenanntem DLL-Sideloading nach. Bei diesem Verfahren missbrauchen Angreifer legitime, vertrauenswürdige Softwarekomponenten, um schadhafte Programmcodes oder Hintertüren im System auszuführen, ohne die Alarmsysteme zu aktivieren. Angaben zu konkreten finanziellen Schäden oder Datenverlusten durch die Akteure enthält der Untersuchungsbericht nicht.
Notwendigkeit koordinierter Sicherheitsmaßnahmen für SharePoint
Die Erkenntnisse verdeutlichen laut dem Bericht eine Veränderung der Bedrohungslage für Unternehmen. Microsoft erklärte dazu:
„Dieser Fall unterstreicht eine wachsende Realität: Moderne Angriffe sind nicht immer isolierte Ereignisse. Manchmal handelt es sich um überschneidende Kampagnen, die eine koordinierte Sichtbarkeit und Reaktion erfordern.“
Microsoft
Als technische Gegenmaßnahmen empfiehlt das Unternehmen die sofortige Installation von Sicherheitsupdates (Patches) für Systeme, die direkt über das Internet erreichbar sind. Zudem wird dazu geraten, privilegierte Benutzerkonten intensiver zu überwachen, flächendeckende Endpunktschutz-Lösungen vor dem Eintreffen von Vorfällen zu implementieren und die Überwachung über Cloud- und lokale Infrastrukturen hinweg zu koordinieren.
(red)
