Nur wenige Tage nach Bereitstellung der Patches für die Sicherheitslücken CVE-2025-49704 und CVE-2025-49706 in Sharepoint fanden Angreifer einen Weg, Microsofts Fix zu umgehen: Ein Kaspersky-Forscherteam
zeigte, dass ein einziger Schrägstrich in der URL eines POST-Requests ausreichte, um den Patch für
CVE-2025-49706 vollständig auszuhebeln und die gesamte Toolshell-Angrifskette wieder zu aktivieren – einschliesslich der ursprünglichen Lücke
CVE-2025-49704.
Erste Exploit-Versuche wurden bereits am 7. Juli beobachtet, kurz vor der offiziellen Patchveröffentlichung. Die grossflächige Ausnutzung setzte laut Kaspersky allerdings erst ab dem 18. Juli ein, als viele Systeme bereits als gepatcht galten. In der Folge führten die Bypässe zur Registrierung zweier neuer Schwachstellen,
CVE-2025-53770 und CVE-2025-53771, die
Microsoft erst ab dem 20. Juli endgültig schloss.
Hintergrund der zweiten Bypass-Lücke soll eine Mitigation für CVE-2025-49704 gewesen sein, die Administratoren manuell anwenden mussten. Da dieser Schritt in der ursprünglichen Sicherheitsmeldung nicht klar erwähnt wurde, blieben viele Sharepoint-Instanzen weiterhin angreifbar, wie Kaspersky erläutert.
Darüber hinaus verweisen die Forscher auf eine fast identische Exploit-Mechanik zur bereits 2020 gepatchten Schwachstelle CVE-2020-1147. Diese Parallelen legen nahe, dass die Toolshell-Angriffe womöglich auf altem Code basieren und über Jahre unentdeckt im Umlauf waren.
(dow)
