SharePoint-Lücke CVE-2026-45659: Angreifer nutzen RCE aktiv aus

Microsoft treibt SharePoint-Entwicklung voran, während eine aktiv ausgenutzte RCE-Lücke und neue Phishing-Angriffe Unternehmen weltweit alarmieren.

Der Softwarekonzern treibt die Weiterentwicklung der SharePoint-Plattform voran, während weltweit Behörden vor aktiven Angriffen auf eine schwerwiegende Sicherheitslücke warnen. Für Unternehmen in Deutschland und Europa bedeutet das: höchste Alarmstufe.

Neue Features für Entwickler: SPFx 1.24 und Copilot-Integration

Microsoft hat den Fahrplan für das SharePoint Framework (SPFx) für die zweite Jahreshälfte 2026 vorgestellt. Nach dem Release von Version 1.23.2 im Juni stehen nun bedeutende Neuerungen an.

Bereits im Juli soll die öffentliche Vorschau für SharePoint Copilot Apps starten. Die allgemeine Verfügbarkeit (GA) ist für später im Jahr geplant. Parallel dazu bringt Microsoft die nächste Hauptversion SPFx 1.24 in die Preview-Phase – ebenfalls im Juli. Der offizielle Launch ist für September 2026 anvisiert.

Ein technisches Highlight: Mit der GA-Version soll endlich die Unterstützung für React 18 Einzug halten. Das erweitert die Möglichkeiten für Entwickler, die im Microsoft-365-Ökosystem arbeiten, erheblich. Die Frage ist nur: Werden diese Neuerungen von den aktuellen Sicherheitsproblemen überschattet?

Kritische Sicherheitslücke: Angreifer nutzen Schwachstelle aktiv aus

Während Microsoft an neuen Funktionen feilt, schrillen bei Sicherheitsexperten die Alarmglocken. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstelle CVE-2026-45659 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Fehler mit einem CVSS-Score von 8,8 ermöglicht eine Remotecodeausführung (RCE) in SharePoint Server – ausgelöst durch unsachgemäße Deserialisierung.

Die Angreifer, die hinter der als Storm-2603 bekannten Gruppe stecken, sind bereits seit Mitte 2025 aktiv. Ihr Vorgehen ist raffiniert: Sie verschaffen sich zunächst über eine separate Schwachstelle in Triofox Zugang zum Netzwerk. Über die SharePoint-RCE führen sie dann Code mit den Berechtigungen eines niedrig privilegierten, authentifizierten Nutzers aus.

Einmal im System, nutzen die Angreifer Werkzeuge wie Velociraptor, Zoho Assist und Cloudflare-Tunneling, um dauerhaft präsent zu bleiben und ihre Zugriffsrechte auszuweiten. Betroffen sind die SharePoint Enterprise Server Versionen 2016, 2019 und die Subscription Edition.

Anzeige

Wer die aktive RCE-Ausnutzung in SharePoint Server (CVE-2026-45659) für sein Unternehmen bewerten will, findet in diesem kostenlosen Report die wichtigsten Sofortmaßnahmen – von Patch-Anleitung bis zur Erkennungs-Checkliste für Storm-2603. Jetzt kostenlosen Sicherheits-Report anfordern

Für Bundesbehörden in den USA setzte die CISA eine Frist bis zum 4. Juli 2026, um die notwendigen Patches einzuspielen. Microsoft hat die Updates KB5002863, KB5002870 und KB5002868 veröffentlicht. Administratoren sollten beachten: Für eine vollständige Wirksamkeit müssen nach der Installation der Patches der SharePoint Products Configuration Wizard ausgeführt und ein IIS-Reset durchgeführt werden.

Weltweit gefährdet: Auch Deutschland im Visier

Doch die RCE-Lücke ist nicht die einzige Gefahr. Eine weitere Schwachstelle (CVE-2026-32201) betrifft die Spoofing-Anfälligkeit der Plattform. Zwar ist die Zahl der weltweit exponierten IP-Adressen innerhalb einer Woche von 1.745 auf rund 1.370 gesunken – dennoch bleiben viele Systeme in den USA und auch in Deutschland verwundbar.

Hinzu kommt eine neue Bedrohung für die gesamte Microsoft-365-Umgebung: das Phishing-Toolkit ARToken. Es nutzt den OAuth-Gerätecodefluss, um Zugriffstoken zu stehlen – und das ohne Passwort oder Umgehung der Mehrfaktorauthentifizierung (MFA). Das Toolkit, das auf der gleichen Infrastruktur wie die EvilTokens-Plattform basiert, zielt gezielt auf Mitarbeiter in den Bereichen Finanzen, Personalwesen und Logistik ab.

Besonders perfide: Selbst nach einem Passwort-Reset können Angreifer so weiterhin auf Mailboxen und SharePoint-Dateien zugreifen. Ein Albtraum für jede IT-Abteilung.

Systemwartung als zusätzliche Herausforderung

Die Sicherheitslage wird durch weitere Pannen erschwert. Das Windows-Update KB5094126 weist eine Ausfallrate von rund 80 Prozent auf. Und eine kritische Schwachstelle in Microsoft Defender (CVE-2026-50656) mit dem Codenamen RoguePlanet bleibt vorerst ungepatcht. Ein Fix ist für den 14. Juli 2026 angekündigt.

Anzeige

Das Phishing-Toolkit ARToken umgeht MFA und stiehlt Zugriffstoken – selbst nach Passwort-Reset. Dieser Report zeigt, wie Sie Token-Diebstahl erkennen und Ihre SharePoint-Umgebung schützen, bevor Angreifer auf Mailboxen und Dateien zugreifen. ARToken-Schutz jetzt sichern

Branchenbeobachter sehen diese Sicherheitsprobleme vor dem Hintergrund eines besorgniserregenden Trends: Bei fast einem Drittel aller Sicherheitsvorfälle sind gestohlene Zugangsdaten im Spiel. Und fast die Hälfte aller Unternehmen meldet innerhalb des letzten Jahres eine Kompromittierung von Cloud-Konten.

Experten raten daher zu einer Kombination aus Echtzeit-Identitätsblockierung und langfristiger Überwachung, um Entra-ID-Umgebungen gegen diese anhaltenden Bedrohungen zu wappnen. Denn eines ist klar: Die Angreifer schlafen nicht – und Microsofts neue Features helfen wenig, wenn die Hintertür offen steht.