Die US-Sicherheitsbehörde CISA hat eine sofortige Warnung zu drei kritischen SharePoint-Schwachstellen herausgegeben. Angreifer nutzen diese aktiv aus, um in Unternehmensnetzwerke einzudringen.
Die betroffenen Lücken betreffen alle unterstützten On-Premises-Versionen von Microsoft SharePoint – darunter SharePoint Server Subscription Edition, 2019 und 2016. Besonders brisant: Die Angreifer kombinieren die Schwachstellen gezielt, um Authentifizierungsmechanismen zu umgehen, Sicherheitsschlüssel zu stehlen und Schadsoftware zu verbreiten.
Gefährliche Angriffskette
Sicherheitsforscher haben eine komplexe Angriffskette identifiziert. Die drei ausgenutzten Lücken im Einzelnen:
- CVE-2026-32201: Eine Spoofing-Schwachstelle, die bereits im April geschlossen wurde.
- CVE-2026-45659: Ein Fehler, der Remotecodeausführung ermöglicht – gepatcht im Mai.
- CVE-2026-56164: Eine Rechteausweitung, die erst im Juli-Patchday behoben wurde. Sie erlaubt nicht authentifizierten Angreifern, erhöhte Berechtigungen zu erlangen.
Die Angreifer nutzen diese Kombination, um über Deserialisierung die IIS-Maschinenkeys zu stehlen. Mit diesen Schlüsseln können sie dauerhaften Zugriff aufbauen und weitere Angriffe im Netzwerk starten.
Alarmierende Zahlen
Überwachungsdienste haben rund 10.000 SharePoint-Server identifiziert, die direkt mit dem Internet verbunden sind. Mehr als 800 davon sind noch nicht gegen die älteren Lücken abgesichert. Das ist besonders gefährlich, denn die Schwachstelle CVE-2026-56164 muss bis zum 17. Juli behoben sein – so schreibt es die verbindliche Anordnung BOD 26-04 vor.
Während kritische Server-Schwachstellen wie bei SharePoint oft komplexe Lösungen erfordern, können Unternehmen ihre IT-Sicherheit bereits durch einfache, proaktive Maßnahmen erheblich stärken. Dieser kostenlose Report enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. Gratis-E-Book zur Cyber Security jetzt herunterladen
Rekordverdächtiger Juli-Patchday
Die SharePoint-Probleme sind Teil eines beispiellosen Microsoft-Patchdays im Juli 2026. Mit 622 Sicherheitsupdates wurde ein neuer Rekord aufgestellt. Branchenexperten führen die hohe Zahl unter anderem auf KI-gestützte Methoden zur Schwachstellenerkennung zurück.
Neben SharePoint warnt die CISA auch vor einer aktiv ausgenutzten Lücke in den Active Directory Federation Services (AD FS) mit der Kennung CVE-2026-56155. Hier haben Bundesbehörden bis zum 28. Juli Zeit für die Behebung. Bereits einen Tag nach Bekanntwerden wurde eine weitere Schwachstelle (CVE-2026-58644) als ausgenutzt bestätigt.
Mehr als nur Patchen
Die Sicherheitsexperten warnen: Allein das Einspielen von Patches reicht nicht aus, wenn der Server bereits kompromittiert wurde. Administratoren sollten vor den Updates eine gründliche Jagd nach Eindringlingen durchführen.
Neben technischen Lücken nutzen Cyberkriminelle oft psychologische Schwachstellen aus, um in Firmennetzwerke einzudringen, weshalb Awareness-Kampagnen für den Rundum-Schutz unverzichtbar sind. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten wirksam gegen moderne Hacker-Methoden absichern. Kostenloses Anti-Phishing-Paket für Unternehmen sichern
Die CISA empfiehlt darüber hinaus mehrere Härtungsmaßnahmen:
- Maschinenkeys rotieren: Bereits gestohlene Schlüssel werden so ungültig.
- AMSI aktivieren: Die Antimalware-Schnittstelle verbessert die Erkennung schädlicher Skripte.
- Zugriff beschränken: SharePoint-Server sollten nach Möglichkeit nicht direkt mit dem Internet verbunden sein.
Bislang wurden keine öffentlichen Proof-of-Concept-Exploits veröffentlicht, und die Angriffe konnten noch keiner bestimmten Gruppe zugeordnet werden. Doch die Schwere der Lücken – einige erreichen NVD-Werte von bis zu 9,8 – lässt keinen Spielraum für Zögern. Die Botschaft der Behörden ist klar: Sofort handeln, nicht nur in US-Behörden, sondern auch in Unternehmen weltweit.

