Nach einer Serie schwerer Cyberangriffe auf SharePoint-Server zieht Microsoft Konsequenzen: Das Unternehmen beendet die Wartung seiner Serverprodukte durch in China ansässige Teams – zumindest für US-Regierungskunden. Hintergrund sind Angriffe mehrerer chinesischer Hackergruppen, darunter zwei staatlich unterstützte Akteure.
Hacks auf SharePoint-Installationen
Im Juli nutzten Angreifer gleich mehrere kritische Sicherheitslücken in lokalen (on-premises) Versionen von SharePoint Server aus. Die Schwachstellen – CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 und CVE-2025-53771 – ermöglichten Remote Code Execution.
Durch die Kombination dieser Lücken verschafften sich die Hacker Zugang zu Systemen von Unternehmen und Regierungsorganisationen. Laut Microsoft wurden dabei Daten exfiltriert und teilweise Ransomware eingesetzt.
Das interne Threat-Intelligence-Team von Microsoft schreibt die Angriffe den Gruppen Linen Typhoon und Violet Typhoon (beide mit mutmaßlicher staatlicher Unterstützung aus China) sowie der ebenfalls in China ansässigen Gruppe Storm-2603 zu.
Verdacht auf Informationslecks
Brisant ist, dass die Angreifer offenbar schon über Umgehungen für Sicherheitsupdates verfügten, noch bevor diese veröffentlicht waren. Laut Trend Micro muss es zu Informationsabflüssen über geplante Patches gekommen sein.
Microsoft teilt ausgewählten Partnern im Rahmen des Microsoft Active Protections Program (MAPP) vorab Details zu Sicherheitsupdates mit. Schon 2012 und 2021 war dieses Programm in Zusammenhang mit chinesischen Informationslecks in den Schlagzeilen.
ProPublica-Enthüllungen über Microsofts Support-Praxis
Kurz vor Bekanntwerden der Attacken hatte ProPublica berichtet, dass Microsoft Supportarbeiten für das US-Verteidigungsministerium von Ingenieuren in China durchführen ließ – angeblich unter Aufsicht sogenannter „Digital Escorts“ aus den USA.
Diese Begleiter sollten die Arbeit kontrollieren, verfügten laut Quellen jedoch häufig nicht über ausreichende technische Expertise, um die chinesischen Teams effektiv zu überwachen. In einem Folgeartikel enthüllte ProPublica, dass auch andere US-Ministerien – darunter Justiz, Finanzen und Wirtschaft – Support von China aus erhalten hatten. Screenshots aus Microsofts internen Systemen belegten, dass chinesische Ingenieure Bugs in SharePoint behoben hatten – exakt in der Software, die kurze Zeit später Ziel massiver Angriffe wurde.
Microsoft reagiert
In einem Statement erklärte Microsoft-Sprecher Frank X. Shaw am 18. Juli auf X (ehemals Twitter), dass man in Reaktion auf die Vorfälle die Unterstützung durch chinesische Teams für US-Regierungskunden sofort beendet habe.
Shaw betonte, Microsoft bleibe „verpflichtet, die sicherstmöglichen Dienste für die US-Regierung bereitzustellen“ und arbeite eng mit nationalen Sicherheitsbehörden zusammen, um Prozesse und Protokolle anzupassen.
Unklar ist bislang:
- In welche Länder Microsoft die Wartung verlagert.
- Ob auch bei anderen Produkten weiterhin ausländische Teams mitarbeiten.
- Ob die Aufsicht künftig ausschließlich von US-Ingenieuren übernommen wird.
Geopolitische Dimension
Der Schritt verdeutlicht die wachsende Sicherheits- und Vertrauensproblematik im Technologiehandel zwischen den USA und China. Während Microsoft seit Jahren auf Outsourcing nach China setzte, wird die Nähe zwischen staatlich unterstützten Hackergruppen und lokalen Teams nun als Risiko bewertet.
Für die US-Regierung steht dabei die Frage im Raum, ob die Abhängigkeit von US-Tech-Giganten wie Microsoft zugleich ein Sicherheitsrisiko für kritische Infrastrukturen darstellt.
SharePoint-Bugs inzwischen gepatcht
Die im Juli ausgenutzten Schwachstellen hat Microsoft mittlerweile behoben. Dennoch bleibt der Vorfall ein Weckruf: On-Premises-Lösungen wie SharePoint-Server sind nach wie vor ein attraktives Ziel für Angreifer – insbesondere dort, wo Kunden Patches nicht sofort einspielen.
Microsoft zieht sich aus China-Support für Behörden zurück
Mit dem Rückzug chinesischer Support-Teams bei US-Regierungskunden vollzieht Microsoft eine deutliche strategische Kehrtwende. Das Unternehmen will damit Vertrauen zurückgewinnen und sicherstellen, dass sensible Support-Arbeiten nicht länger in einem Umfeld stattfinden, in dem staatlich unterstützte Hackergruppen aktiv sind.
Ob diese Maßnahme genügt, um künftige Informationslecks und Angriffe zu verhindern, bleibt allerdings offen – ebenso die Frage, ob auch andere globale Kunden von ähnlichen Outsourcing-Praktiken betroffen sind.
