Microsoft SharePoint: CISA warnt vor aktiven CVE-2026-45659-Angriffen
03.07.2026 - 15:23:37 | boerse-global.de
Die US-Sicherheitsbehörde CISA hat eine schwerwiegende Schwachstelle in Microsoft SharePoint in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Schritt erfolgt parallel zur Entdeckung einer massiven Passwort-Angriffswelle auf Microsoft-365-Konten – mit alarmierenden Zahlen.
SharePoint-Lücke erlaubt Code-Ausführung
Am 1. Juli 2026 warnte die Cybersecurity and Infrastructure Security Agency (CISA) offiziell vor aktiven Angriffen auf die Sicherheitslücke CVE-2026-45659. Die Deserialisierungs-Schwachstelle im SharePoint Server hat einen CVSS-Schweregrad von 8,8 – die zweithöchste Stufe. Angreifer mit einfachen Site-Mitgliedsrechten können beliebigen Code auf betroffenen Systemen ausführen.
Microsoft hatte den Patch bereits am 21. Mai 2026 veröffentlicht. Allerdings fehlte die Schwachstelle im ursprünglichen Patch-Day-Bulletin. Betroffen sind mehrere Versionen: SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Server 2016. US-Behörden müssen die Patches bis zum 4. Juli 2026 installieren. Sicherheitsexperten warnen, dass Angreifer die Lücke nutzen könnten, um Web-Shells zu platzieren und sich innerhalb von Unternehmensnetzwerken seitlich auszubreiten.
81 Millionen Anmeldeversuche in zwei Wochen
Noch beunruhigender ist eine separate Entwicklung: Sicherheitsforscher von Huntress entdeckten eine groß angelegte Password-Spraying-Kampagne gegen Microsoft-365-Konten. Zwischen dem 12. und 26. Juni 2026 starteten Angreifer rund 81 Millionen Anmeldeversuche – und erbeuteten 78 Konten in 64 verschiedenen Organisationen.
Die Taktik: Die Angreifer missbrauchten den Resource Owner Password Credentials (ROPC) OAuth-Flow, um die Mehrfaktor-Authentifizierung (MFA) zu umgehen. Analysten verzeichneten einen 155-fachen Anstieg solcher Attacken. Besonders alarmierend: Viele der kompromittierten Organisationen hatten entweder gar keine MFA eingerichtet oder ihre Conditional-Access-Richtlinien falsch konfiguriert. Experten empfehlen, die Nutzung der Azure Command Line Interface (CLI) einzuschränken und MFA für alle Nutzer verpflichtend zu machen.
Neue Schwachstellen in Entra und Exchange
Wer die aktive SharePoint-Lücke CVE-2026-45659 und die Password-Spraying-Welle auf M365-Konten für sein Unternehmen bewerten will, findet in diesem kostenlosen Report die wichtigsten Sofortmaßnahmen – von Patch-Checkliste bis MFA-Konfiguration. Jetzt kostenlosen Sicherheits-Report anfordern
Am 3. Juli 2026 wurden zwei weitere kritische Sicherheitslücken bekannt. CVE-2026-57100 betrifft den Microsoft Entra Provisioning Service (SyncFabric). Die Server-Side-Request-Forgery-Lücke (SSRF) erlaubt autorisierten Angreifern, ihre Berechtigungen auszuweiten.
Parallel dazu wurde CVE-2026-54998 in Microsoft Exchange Online veröffentlicht. Diese Schwachstelle beruht auf falscher Autorisierung und könnte authentifizierten Angreifern höhere Zugriffsrechte verschaffen. Cybersicherheitsfirmen raten dringend zur sofortigen Patchen dieser Lücken.
Phishing der nächsten Generation
Neue Angriffsvarianten zielen auf OAuth-Zustimmungsprozesse ab. Die Methode ConsentFix erlaubt Angreifern, Microsoft-365-Konten in Sekunden zu kapern. Die Opfer werden dazu gebracht, auf einen Localhost-Callback-Link zu klicken – und geben damit ihre OAuth-Tokens preis, was MFA umgeht. Eine verwandte Technik namens ClickFix nutzt trügerische Eingabeaufforderungen zur Ausführung von Schadcode. Detaillierte Anleitungen für diese Methoden kursieren seit März 2026 in Cybercrime-Foren.
Zudem wurde ein neues Phishing-Panel namens ARToken identifiziert. Es nutzt den Microsoft-Gerätecode-Fluss, um Sitzungs-Tokens zu stehlen – ohne Passwort. Das Panel bietet über 80 Funktionen für dauerhaften Zugriff, darunter das Lesen von E-Mails und das Herunterladen von Dateien aus SharePoint und OneDrive. Forscher haben mehr als 2.000 Phishing-Seiten und 500 Cloudflare-Workers-Domains mit dieser Infrastruktur in Verbindung gebracht.
Dubiose Angebote aus dem Darknet
Angreifer missbrauchen den ROPC-OAuth-Flow, um MFA zu umgehen – 78 Konten in 64 Organisationen wurden bereits kompromittiert. Dieser Report zeigt, wie Sie Conditional-Access-Richtlinien richtig konfigurieren und OAuth-Missbrauch unterbinden. OAuth-Sicherheitsleitfaden jetzt sichern
Unbestätigte Behauptungen sorgen zusätzlich für Unruhe. Am 2. und 3. Juli 2026 tauchten Meldungen über einen angeblichen Pre-Authentication-Zero-Click-Exploit für Microsoft 365 Exchange Online auf. Ein Bedrohungsakteur soll den Exploit auf einem Darknet-Marktplatz für 2,5 Millionen Monero versteigert haben.
Die Behauptungen lösten in sozialen Netzwerken erhebliche Besorgnis aus. Allerdings fehlen technische Beweise oder unabhängige Bestätigungen für die Existenz des Exploits. Experten halten solche Behauptungen oft für übertrieben, raten aber zu erhöhter Wachsamkeit – insbesondere bei SSRF-basierten Angriffsketten. Microsoft selbst hat sich zu einer möglichen Zero-Day-Sicherheitslücke bisher nicht geäußert.
