SharePoint-Lücke, CVE-2026-45659

SharePoint-Lücke CVE-2026-45659: CISA warnt vor aktiven Ransomware-Angriffen

04.07.2026 - 10:35:45 | boerse-global.de

Microsoft SharePoint weist eine kritische Sicherheitslücke auf, die bereits für Ransomware-Angriffe genutzt wird. Über 10.000 Server sind gefährdet.

CISA warnt: Kritische SharePoint-Lücke ermöglicht Code-Ausführung
SharePoint-Lücke - Ein stilisiertes, dunkles digitales Vorhängeschloss vor einem verschwommenen Hintergrund aus leuchtenden Codezeilen und Server-Racks, das eine kritische SharePoint-Sicherheitslücke symbolisiert. 04.07.2026 - Bild: über boerse-global.de

Die US-Cybersicherheitsbehörde CISA hat eine kritische Schwachstelle in Microsoft SharePoint Server in ihren Katalog bekannter Sicherheitslücken aufgenommen. Die als CVE-2026-45659 geführte Lücke ermöglicht Angreifern die Ausführung von beliebigem Code aus der Ferne. Experten warnen vor aktiven Angriffen auf Unternehmen und Behörden.

Gefährliche Deserialisierungs-Lücke

Die Schwachstelle erreicht einen CVSS-Score von 8,8 und gilt damit als hochriskant. Betroffen sind SharePoint Server 2016, SharePoint Server 2019 sowie die SharePoint Server Subscription Edition. Ursache ist ein Fehler bei der Deserialisierung nicht vertrauenswürdiger Daten.

Besonders brisant: Die Hürde für einen Angriff ist niedrig. Ein authentifizierter Angreifer benötigt lediglich einfache Site-Member-Rechte, um die Lücke auszunutzen. Damit kann Schadcode auf dem Server ausgeführt werden – mit weitreichenden Folgen für Datensicherheit und Unternehmensinfrastruktur.

Ransomware im Anmarsch

Die Schwachstelle wird bereits von mehreren Akteuren ausgenutzt. Darunter die Hackergruppe Storm-2603, die die Lücke nutzt, um die Warlock-Ransomware in den Netzwerken der Opfer zu verbreiten.

Sicherheitsanalysten beobachten zudem, dass teilweise mehrere Gruppen gleichzeitig in denselben kompromittierten Netzwerken agieren. Microsoft hatte die Wahrscheinlichkeit einer Ausnutzung ursprünglich als geringer eingestuft. Die Aufnahme in den KEV-Katalog der CISA am 1. Juli zeigt nun die tatsächliche Brisanz. Für US-Behörden gilt eine Frist bis heute, um die Sicherheitsmaßnahmen umzusetzen.

Anzeige

Die CISA warnt vor aktiven Ransomware-Angriffen auf SharePoint-Server – über 10.000 Systeme sind direkt erreichbar. Mit diesem Report prüfen Sie in 15 Minuten Ihren Patch-Status und erkennen eine Kompromittierung durch Log-Analyse. Jetzt kostenlosen Sicherheits-Report anfordern

Über 10.000 Server direkt erreichbar

Analysen des Dienstes Shadowserver zeigen das weltweite Ausmaß: Noch immer sind über 10.000 SharePoint-Server direkt über das Internet erreichbar und potenziell gefährdet.

Microsoft hatte bereits am 21. Mai Sicherheitsupdates bereitgestellt. Administratoren sollten ihre Systeme auf folgende Builds oder neuere Versionen aktualisieren:

  • SharePoint Server 2016: 16.0.5552.1002
  • SharePoint Server 2019: 16.0.10417.20128
  • SharePoint Server Subscription Edition: 16.0.19725.20280

Sofortmaßnahmen für Unternehmen

Anzeige

Hacker-Gruppen wie Storm-2603 nutzen die kritische SharePoint-Lücke CVE-2026-45659 aktiv aus – mit einfachen Site-Member-Rechten. Unser Leitfaden zeigt, wie Sie mit einem MFA- und Berechtigungs-Audit in 30 Minuten Ihre Systeme absichern. SharePoint-Sicherheits-Check jetzt sichern

Neben der Installation der Patches empfehlen Experten eine umfassende Prüfung der System-Logs auf verdächtige Aktivitäten. Da der Exploit eine Authentifizierung erfordert, sollten Zugriffsberechtigungen nach dem Prinzip der minimalen Rechtevergabe überprüft werden.

Die Multi-Faktor-Authentifizierung (MFA) sollte konsequent zum Einsatz kommen. Sicherheitsexperten raten zudem davon ab, SharePoint-Server ohne zusätzliche Schutzmaßnahmen wie VPN-Gateways direkt dem öffentlichen Internet auszusetzen.

de | wirtschaft | 69686154 |