Ransomware-Gruppen nutzen schwerwiegende Sicherheitslücken in Microsoft-Servern aus. Mehrere Dienste werden zudem eingestellt.
Sicherheitsforscher und US-Behörden schlagen Alarm: In Microsoft Exchange Server 2019 und SharePoint Server wurden hochriskante Sicherheitslücken entdeckt. Die Warnungen kommen zu einem brisanten Zeitpunkt, denn Mitte Juli stellt Microsoft mehrere ältere Dienste endgültig ein. Erste Ransomware-Angriffe nutzen die Schwachstellen bereits aktiv aus.
Gefährliche SSRF-Lücke in Exchange Server
Die als CVE-2026-45504 registrierte Schwachstelle im Exchange Server 2019 ermöglicht authentifizierten Nutzern mit niedrigen Berechtigungen das Auslesen lokaler Dateien. Mit einem CVSS-Score von 8,8 gilt sie als hochgefährlich.
Das Problem liegt in der Schnittstelle zwischen Exchange und OneDrive beziehungsweise WOPI. Der Sicherheitsforscher Batuhan Er von HawkTrace veröffentlichte einen Proof-of-Concept, der zeigt, wie Angreifer über manipulierte EWS-Referenzanhänge sensible Systemdateien abgreifen können. Die Lücke entsteht durch unzureichende URL-Validierung – Angreifer nutzen das file://-Protokoll in Kombination mit einem Rautezeichen (#), um die Standardprüfung zu umgehen.
Administratoren sollten umgehend die aktuellen Microsoft-Patches einspielen und die erlaubten URL-Schemata auf http und https beschränken.
SharePoint-Lücke: Über 10.000 Server gefährdet
Noch brisanter ist die Lage bei SharePoint. Die US-Cybersicherheitsbehörde CISA bestätigte, dass die als CVE-2026-45659 bekannte Schwachstelle aktiv ausgenutzt wird. Auch sie erreicht einen CVSS-Score von 8,8 und betrifft SharePoint Server 2016, 2019 sowie die Subscription Edition.
Über 10.000 SharePoint-Server sind ungepatcht im Netz – Ransomware-Gruppe Storm-2603 nutzt die Deserialisierungs-Lücke CVE-2026-45659 bereits aktiv aus. CISA setzt Frist bis 4. Juli. Mit der kostenlosen Patch-Notfall-Checkliste schließen Sie die Lücke in 5 Minuten. Kostenlose Patch-Notfall-Checkliste anfordern
Die Sicherheitslücke erlaubt Angreifern mit Site-Member-Berechtigungen die Ausführung beliebigen Codes – möglich gemacht durch einen Deserialisierungsfehler. CISA nahm den Fehler am 1. Juli in den Katalog bekannter ausgenutzter Schwachstellen auf und gab US-Bundesbehörden bis zum 4. Juli Zeit für die Patch-Pflicht.
Laut Shadowserver sind noch über 10.000 SharePoint-Server direkt aus dem Internet erreichbar. Sicherheitsforscher bringen die aktuelle Angriffswelle mit der Ransomware-Gruppe Storm-2603 in Verbindung. Microsoft hatte den Patch zwar bereits im Mai ausgeliefert, doch die jüngsten Aktivitäten zeigen: Viele Unternehmen haben ihn noch nicht installiert. Experten raten dringend zur sofortigen Aktualisierung und zur Überprüfung der Zugriffsprotokolle.
Aus für bewährte Tools: Was Administratoren wissen müssen
Neben den akuten Sicherheitsbedrohungen steht ein weiterer Termin im Kalender: Am 14. Juli 2026 stellt Microsoft mehrere Dienste ein, die in SharePoint- und Exchange-Umgebungen noch weit verbreitet sind:
- SharePoint Designer 2013
- InfoPath 2013
- InfoPath Forms Services
Betrifft Sie das? Prüfen Sie in 2 Minuten, ob Ihr SharePoint-Server noch ungepatcht ist. Die kostenlose Checkliste zeigt Ihnen die kritischen Schritte zur Absicherung gegen Storm-2603 und die SSRF-Lücke in Exchange. Sofort-Checkliste per E-Mail sichern
Unternehmen, die noch auf diese Tools setzen, sollten laut Microsoft schnell auf moderne Alternativen umsteigen – etwa Power Automate, Power Apps oder Microsoft Forms.
Auch die Remote Event Receiver (RER) in SharePoint Online sind betroffen. Während der Support für Azure-ACS-basierte RER bereits am 2. April endete, läuft die Entra-basierte Variante noch bis zum 1. Juli 2027. Administratoren wird empfohlen, frühzeitig auf SharePoint-Webhooks und Graph-Änderungsbenachrichtigungen umzusteigen, um den reibungslosen Betrieb ihrer digitalen Arbeitsumgebungen sicherzustellen.

