SharePoint-Lücke CVE-2026-45659: CISA warnt vor aktiven Angriffen
03.07.2026 - 09:18:50 | boerse-global.de
Die US-Sicherheitsbehörde CISA hat eine schwerwiegende Sicherheitslücke in Microsoft SharePoint Server in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Grund sind aktive Angriffe auf die als CVE-2026-45659 geführte Schwachstelle, die eine Codeausführung aus der Ferne ermöglicht. Bundesbehörden in den USA müssen den Fehler bis zum 4. Juli 2026 schließen.
Technische Details: So funktioniert der Angriff
Die Schwachstelle ist ein sogenannter Insecure-Deserialization-Fehler mit einem CVSS-Score von 8,8 (hohes Risiko). Das Problem liegt in der Art und Weise, wie SharePoint Server nicht vertrauenswürdige Daten deserialisiert. Ein Angreifer im Netzwerk kann dadurch beliebigen Code ausführen.
Allerdings ist die Ausnutzung nicht völlig trivial: Der Angreifer benötigt einen authentifizierten Zugang mit mindestens Site-Member-Berechtigungen. Sicherheitsforscher weisen jedoch darauf hin, dass es sich dabei um relativ niedrige Rechte handelt, die in vielen Organisationen eine große Zahl von Nutzern besitzt.
Betroffen sind mehrere On-Premises-Versionen:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Server Enterprise 2016
Riskioeinschätzung: Von „unwahrscheinlich" zu „aktiv ausgenutzt"
Bemerkenswert ist die Diskrepanz in der Risikobewertung: Als Microsoft am 21. Mai 2026 Sicherheitsupdates für den Fehler veröffentlichte, stufte der Konzern die Wahrscheinlichkeit einer Ausnutzung zunächst als gering ein. Einige Berichte deuten darauf hin, dass der Patch in ersten Sicherheitsbulletins fehlte – möglicherweise übersahen Administratoren das Update deshalb.
Wer seine SharePoint-Server gegen die aktive CVE-2026-45659-Attacke absichern will, findet im Report die wichtigsten Schritte: Build-Nummern-Check, Patch-Installation und Notfall-Plan für nicht patchbare Systeme. Sofort-Report mit Patch-Checkliste anfordern
Die Aufnahme in den CISA-Katalog ist nun der formale Hinweis: Die ursprüngliche Risikobewertung ist durch die reale Bedrohungslage überholt.
Bedrohungslage: Tausende Server exponiert
Die potenzielle Gefahr ist erheblich. SharePoint wird in unzähligen Unternehmen zur Speicherung sensibler Daten und für interne Workflows genutzt. Gelingt einem Angreifer die Codeausführung, kann er sich oft lateral durch das Netzwerk bewegen oder auf geschäftskritische Informationen zugreifen.
Daten der Shadowserver Foundation zeigen das Ausmaß: Mehr als 10.000 SharePoint-Server sind aktuell mit dem Internet verbunden. Zwar richtet sich die CISA-Anordnung primär an US-Bundesbehörden, doch die Behörde empfiehlt allen Organisationen dringend, die Updates zu priorisieren.
So schließen Sie die Lücke
Mehr als 10.000 SharePoint-Server sind aktuell mit dem Internet verbunden – und Angreifer nutzen die Lücke bereits aktiv. Bevor Ihr System zum Ziel wird, sollten Sie die Build-Nummern prüfen und das Update priorisieren. Der Report zeigt, wie Sie in drei Schritten sicher patchen. Jetzt Patch-Anleitung sichern
Administratoren können ihre Systeme anhand spezifischer Build-Nummern überprüfen:
- Subscription Edition: Build 16.0.19725.20280
- SharePoint Server 2019: Build 16.0.10417.20128
- Enterprise 2016: Build 16.0.5552.1002
Ein direkter Zusammenhang mit Ransomware-Gruppen wurde bislang nicht bestätigt. Sicherheitsanalysten betonen jedoch, dass die Fähigkeit zur Codeausführung auf ungepatchten Servern für verschiedene Bedrohungsakteure ein hochattraktives Ziel darstellt.
