Die US-Cybersicherheitsbehörde CISA hat eine schwerwiegende Microsoft-SharePoint-Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Grund: Die Lücke wird derzeit aktiv von Angreifern ausgenutzt.
Die als CVE-2026-45659 bekannte Sicherheitslücke ermöglicht eine Remotecodeausführung (RCE) auf betroffenen Servern und erreicht einen CVSS-Schweregrad von 8,8 – das entspricht der Einstufung „kritisch“. Bundesbehörden in den USA waren verpflichtet, die notwendigen Sicherheitsupdates bis zum 4. Juli 2026 einzuspielen. Die Aufnahme in den Katalog erfolgte bereits am 1. Juli.
Wie die Schwachstelle funktioniert
Das Problem liegt in einem Deserialisierungsfehler innerhalb von Microsoft SharePoint Server. Betroffen sind mehrere On-Premises-Versionen: SharePoint Enterprise Server 2016, SharePoint Server 2019 sowie die SharePoint Server Subscription Edition. Ein authentifizierter Angreifer mit Site-Member-Berechtigungen kann die Lücke ausnutzen.
Die Angriffskomplexität ist gering, und es ist keine Benutzerinteraktion erforderlich. Microsoft selbst hatte die Wahrscheinlichkeit einer Ausnutzung zunächst als weniger wahrscheinlich eingestuft. Doch die jüngsten Aktivitäten im Feld zwangen die Behörden zum Handeln. Laut Daten von Shadowserver sind weltweit noch über 10.000 SharePoint-Server mit dem Internet verbunden – ein erhebliches Risiko.
Mehrere Angreifergruppen aktiv
Cybersicherheitsfirmen berichten, dass die Schwachstelle von mehreren Bedrohungsakteuren gleichzeitig angegriffen wird. In einem Fall entdeckten Ermittler zwei unabhängige Angreifergruppen im selben Opfernetzwerk. Eine dieser Gruppen wird mit der Ransomware-Bande Storm-2603, auch bekannt als Warlock, in Verbindung gebracht.
Die Ausnutzung der Lücke kann zur vollständigen Systemkompromittierung führen. Angreifer können Daten stehlen oder sich lateral durch das Netzwerk bewegen. Seit 2021 hat die CISA insgesamt elf verschiedene SharePoint-Sicherheitslücken identifiziert, die aktiv ausgenutzt wurden – sieben davon standen im Zusammenhang mit Ransomware-Operationen.
Die kritische SharePoint-Lücke CVE-2026-45659 wird aktiv ausgenutzt – mehrere Angreifergruppen sind im Feld. Der Patch allein reicht nicht: Sie müssen den Configuration Wizard ausführen. Dieser Leitfaden zeigt Ihnen in 5 Schritten, wie Sie Ihre Server absichern. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Patch erfordert zusätzliche Schritte
Microsoft hat am 21. Mai 2026 einen Sicherheitspatch veröffentlicht. Doch der Update-Prozess ist nicht trivial: Administratoren müssen nach der Installation auch den SharePoint Products Configuration Wizard ausführen, um das Risiko vollständig zu beseitigen. Organisationen sollten ihre Build-Nummern überprüfen:
- SharePoint Server Subscription Edition: 16.0.19725.20280 oder neuer
- SharePoint Server 2019: 16.0.10417.20128 oder neuer
- SharePoint Enterprise Server 2016: 16.0.5552.1002 oder neuer
Experten empfehlen zudem, die Site-Member-Zugriffsrechte zu überprüfen und die Exposition von SharePoint-Servern gegenüber dem öffentlichen Internet zu beschränken.
Massive Angriffswelle auf Microsoft-365-Konten
Die SharePoint-Lücke ist nicht das einzige Sicherheitsproblem. Zwischen dem 12. und 26. Juni 2026 registrierten Sicherheitsforscher von Huntress rund 81 Millionen Password-Spray-Angriffe auf Microsoft-365-Konten. Mindestens 78 Kompromittierungen waren erfolgreich – oft weil die Multi-Faktor-Authentifizierung (MFA) nicht konsequent durchgesetzt wurde.
Password-Spray-Angriffe auf M365-Konten nehmen massiv zu – 81 Millionen Versuche allein im Juni 2026. Ohne konsequente MFA-Durchsetzung riskieren Sie die Kompromittierung Ihrer gesamten Umgebung. Dieser Leitfaden liefert einen MFA-Durchsetzungsleitfaden für M365 und einen Notfallplan bei aktiver Kompromittierung. MFA-Leitfaden jetzt sichern
Microsoft reagiert mit strengeren Standardsicherheitseinstellungen. Seit der Office-365-Apps-Version 2508 (veröffentlicht am 26. August 2025) blockiert die Software FrontPage RPC (FPRPC) standardmäßig. Das erhöht die Sicherheit, kann aber Legacy-Workflows wie WebDAV-basierten Dateizugriff stören.
Bleibt die Frage: Wie viele Unternehmen haben ihre SharePoint-Server bereits gepatcht? Angesichts der aktiven Angriffswellen dürfte die Zahl der Verwundbaren noch erschreckend hoch sein.

