Cyberangriff auf Microsoft, kritische Stufe. ACN gibt Alarm in Italien heraus: Was ist passiert?

Ein kritischer Angriff. Nahezu die Höchstpunktzahl im internationalen Vergleich: 9,8 von 10 Punkten. Ein Angriff, dessen Folgen derzeit unabsehbar sind und der Regierungen und Unternehmen weltweit in höchste Alarmbereitschaft versetzt hat. Eine Gruppe von Hackern nutzte eine Sicherheitslücke bei Microsoft aus. Und sie nutzten sie möglicherweise schon Tage, bevor sie entdeckt wurde.

Der Alarm verbreitet sich weltweit: die Cyber Alert Agency in Italien

Der ?i-Alarm verbreitet sich überall. Er betrifft vor allem große Unternehmen und institutionelle Standorte. Auch Italien ist betroffen. Die Nationale Agentur für Cybersicherheit hat um 10:30 Uhr eine Warnung an alle potenziell Betroffenen (Behörden, große Unternehmen) herausgegeben und vor der Schwere des Angriffs gewarnt. Sie empfiehlt, SharePoint umgehend zu aktualisieren, die Microsoft-Bulletins zu befolgen und verdächtige Anfragen zu blockieren. Diese Maßnahmen sollen schwerwiegendere Folgen verhindern. Derzeit sind jedoch nicht alle Experten davon überzeugt, dass die von Microsoft veröffentlichten Patches ausreichen, um alle kritischen Probleme zu beheben.

Der Angriff sei schwerwiegend, erklärten mehrere Experten gegenüber Italian Tech, da er einem Angreifer Zugriff und potenziell freie Bewegung im System ermögliche. Die Schwachstelle (identifiziert als CVE-2025-53770) wurde bereits aktiv von böswilligen Akteuren im Internet ausgenutzt. Laut dem Unternehmen ermöglicht die Schwachstelle einem nicht authentifizierten Remote-Angreifer – also einem Angreifer ohne Zugangsdaten –, beliebigen Code auf dem Zielserver auszuführen und so möglicherweise die vollständige Kontrolle über das System zu erlangen.

Warum dieser Angriff besonders gefährlich ist

Besonders gefährlich ist die Möglichkeit, diese Schwachstelle auszunutzen, indem man einfach eine manipulierte Web-Anfrage sendet, ohne dass eine Authentifizierung erforderlich ist.

Der Angriff, so wird erklärt, nutze einen Mechanismus, mit dem SharePoint den Seitenstatus zwischen Bearbeitungen speichert. Die Schwachstelle befindet sich auf der Seite /ToolPane. Dort nutzt SharePoint ein verstecktes Feld, in dem Informationen in Form verschlüsselter Objekte gespeichert werden.

Ohne ausreichende Kontrollen können diese Daten jedoch von Angreifern manipuliert werden, die Schadcode einfügen. Sobald der Code vom Server empfangen und verarbeitet wird, wird er wie ein legitimer Code ausgeführt. Berichten zufolge sind drei SharePoint-Versionen betroffen: Server Subscription Edition, Server 2019 und Server 2016. Der Angriff bestätigt, dass die beliebtesten Unternehmensplattformen ein Hauptziel für Cyberkriminelle darstellen.

Die Möglichkeit, einen SharePoint-Server ohne Zugangsdaten durch eine einfache Web-Anfrage zu kompromittieren, unterstreicht die Dringlichkeit eines proaktiven IT-Sicherheitsmanagements. Experten zufolge besteht die Gefahr von Datendiebstahl, Serviceunterbrechungen oder der Verbreitung von Malware im internen Netzwerk, wenn nicht rechtzeitig Updates durchgeführt werden.

Iezzi (MaticMind): „Sie haben uns geschlagen, um unsere Reaktion zu sehen.“

„SharePoint ist das digitale Herz von Ministerien, Regionen, Gemeinden, Energieunternehmen, Banken und Universitäten: der Ort, an dem alle wichtigen Dokumente für Dienstleistungen, Ausschreibungen, Lieferungen und Forschung archiviert werden“, kommentierte Pierguido Iezzi, Cybersecurity Director bei Maticmind, gegenüber Italian Tech.

„In Italien ist das Risiko real, da SharePoint überall präsent ist: von den Gemeindeämtern, die Melde- und Steuerunterlagen verwalten, über Unternehmen, die Wasser- und Energienetze kontrollieren, bis hin zu Universitäten, an denen sensible Daten und Forschungsprojekte zirkulieren. Ein einziger unbefugter Zugriff kann zur Blockierung von Verwaltungsverfahren, zur Unterbrechung wichtiger Dienste (Strom, Wasser, Gas), zum Abfluss vertraulicher Daten und zur Lähmung strategischer Aktivitäten führen“, fügt er hinzu.

Eine Reaktion auf die Zerschlagung des Noname-Netzwerks?

Doch es geht nicht nur um ein technisches Problem. „Wir stehen vor einem klaren Beispiel für eine digitale taktisch-militärische Blase: ein offensives Ökosystem, das als Reaktion auf bestimmte Ereignisse – wie die Zerschlagung der prorussischen Gruppe NoName057(16) – aktiviert wird und vorgefertigte Tools, bekannte Schwachstellen und hybride Akteure (APTs, Vertragspartner, koordinierte Hacktivisten) nutzt, um gezielt, schnell und koordiniert zuzuschlagen. In diesem Fall ist der Angriff auf SharePoint nicht nur ein Angriff, eine Reaktion oder eine Nachricht: Er könnte auch ein Test unserer Reaktionsfähigkeit sein, eine Form der Aufklärung, die Patch-Zeiten, offizielle Kommunikation und die Stabilität öffentlich-privater Beziehungen misst.“

Und er kommt zu dem Schluss: „Wer uns angegriffen hat, wollte nicht nur unsere Server hacken: Er wollte sehen, wie wir reagieren würden. Und in diesem Fall waren wir das Ziel.“