Microsoft warnt vor Sicherheitslücken in SharePoint und Cloud-Umgebungen

Mehr als 1.300 SharePoint-Server weltweit sind noch ungepatcht – Angreifer nutzen raffinierte Identitätsdiebstähle für Datenabflüsse über Unternehmensgrenzen hinweg.

Die Sicherheitslage für kollaborative Arbeitsumgebungen hat sich dramatisch verschärft. Microsoft und Cybersicherheitsbehörden beobachten eine Welle gezielter Angriffe, die auf externe Freigaben und mandantenübergreifende Identitäten abzielen. Am 4. Mai 2026 veröffentlichte der Konzern neue Bedrohungsanalysen, die einen deutlichen Anstieg komplexer, manuell gesteuerter Angriffe dokumentieren. Die Täter geben sich dabei als Helpdesk-Mitarbeiter aus, um Daten aus fremden Organisationen abzusaugen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen

Besonders brisant: Eine seit Wochen bekannte Sicherheitslücke in Microsoft SharePoint bleibt vielerorts ungeschlossen. Obwohl die Frist für Bundesbehörden zur Behebung des Fehlers bereits abgelaufen ist, sind noch immer mehr als 1.300 Unternehmensserver weltweit verwundbar.

Gefährliche SharePoint-Lücke bleibt ungepatcht

Die als CVE-2026-32201 registrierte Schwachstelle im SharePoint-Spoofing wurde bereits im April 2024 mit einem Patch-Update geschlossen. Der Fehler liegt in einer unzureichenden Eingabevalidierung: Angreifer können ohne Authentifizierung und ohne Benutzerinteraktion manipulierte HTTP-Anfragen an SharePoint senden. Dadurch lassen sich Authentizitätsprüfungen umgehen und gefälschte Inhalte anzeigen.

Die Folgen sind gravierend. Unternehmen, die SharePoint für externe Freigaben nutzen, riskieren, dass Angreifer vertrauenswürdige Quellen imitieren. Sie können gefälschte Dokumente oder fingierte Anmeldeaufforderungen an Mitarbeiter, Partner und Kunden ausspielen. Der CVSS-Score von 6,5 täuscht über die tatsächliche Gefahr hinweg: Experten bewerten die praktische Bedrohung als deutlich höher, da die Lücke einen perfekten Einstieg für Datendiebstahl und Social Engineering bietet.

Die US-Cybersicherheitsbehörde CISA hatte den Fehler Mitte April in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und Bundesbehörden zur Patches bis zum 28. April 2026 verpflichtet. Doch während der Fokus auf dem öffentlichen Sektor lag, blieben tausende private Installationen ungeschützt. Aktuelle Daten der Shadowserver Foundation zeigen: Rund 1.370 internetzugängliche SharePoint-Server sind noch nicht aktualisiert – mit Schwerpunkten in den USA und Deutschland.

Neue Angriffsmuster: Vom Helpdesk zum Partner-Netzwerk

Die Bedrohungslandschaft entwickelt sich rasant weiter. In einem umfassenden Bericht vom 4. Mai 2026 beschreiben Microsofts Defender-Forscher ein neues „Angriffs-Playbook", das speziell auf mandantenübergreifende Beziehungen abzielt. Die Kampagnen konzentrieren sich auf Helpdesk-Mitarbeiter und Administratoren eines Mandanten, um von dort aus in Partnerumgebungen einzudringen.

Die Täter setzen verstärkt auf Social Engineering, um Identitäten mit hohen Berechtigungen zu kompromittieren. Ist ein Account erst einmal gekapert, nutzen die Angreifer das zwischen Organisationen aufgebaute Vertrauen aus – häufig über die Entra B2B-Zusammenarbeit (Business-to-Business). Sie bewegen sich lateral in die Zielumgebung, ohne dass traditionelle Perimeter-Verteidigung anschlägt. Der Datenverkehr und die Authentifizierung erscheinen als legitime Partneranfragen.

Microsoft bestätigt zudem, dass Phishing-Kampagnen immer raffinierter werden. Zwischen Mitte April und Anfang Mai 2025 wurden mehr als 35.000 Nutzer in 13.000 Organisationen attackiert. Die Täter nutzen dabei Verhaltenskodizes als Köder und versenden vollständig authentifizierte Nachrichten über legitime E-Mail-Dienste. Besonders betroffen: das Gesundheitswesen und die Life-Sciences-Branche mit 19 Prozent der Angriffe, dicht gefolgt von Finanz- und Professional-Services.

Rekord-Schäden durch Phishing zeigen, wie wichtig eine gezielte Prävention für Unternehmen heute ist. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihre Firma wirksam vor modernen Hacker-Angriffen schützen. Anti-Phishing-Paket für Unternehmen gratis anfordern

„Copy Fail" bedroht Cloud-Infrastruktur

Doch nicht nur Anwendungen und Identitäten sind verwundbar. Auch die zugrundeliegende Cloud-Infrastruktur gerät ins Visier. Am 2. Mai 2026 begann Microsoft Defender mit der Untersuchung einer als „Copy Fail" (CVE-2026-31431) bezeichneten Schwachstelle. Der Fehler im Kryptografie-Subsystem des Linux-Kernels betrifft Millionen von Kubernetes-Clustern und gemeinsam genutzten Cloud-Workloads.

Obwohl es sich um eine lokale Schwachstelle handelt, sind die Auswirkungen auf Multi-Tenant-Umgebungen enorm. Ein erfolgreicher Exploit erlaubt es einem unprivilegierten Nutzer, durch Manipulation des Page-Cache lesbarer Dateien Root-Rechte zu erlangen. In einer geteilten Cloud-Umgebung oder Container-Architektur könnte dies zu einem Container-Breakout führen – der Angreifer bewegt sich von einer einzelnen kompromittierten Instanz auf den gesamten Host-Knoten.

Microsoft warnte am 5. Mai 2026, dass die Verfügbarkeit eines funktionsfähigen Proof-of-Concept-Exploits in den kommenden Tagen zu einer Zunahme von Angriffen führen dürfte. CISA hat den Fehler bereits in seinen KEV-Katalog aufgenommen – ein klares Signal für die Dringlichkeit der Bedrohung für Cloud-Dienste wie SharePoint Online und Microsoft Teams.

Abschied von schnellen Freigaben

Die anhaltenden Sicherheitsprobleme zwingen Microsoft zu einem grundlegenden Kurswechsel bei der Verwaltung externer Freigaben. Berichte aus der SharePoint-Community von Ende April und Anfang Mai 2026 deuten darauf hin, dass der Konzern sich von einfachen Einmal-Passwort-Freigabelinks verabschiedet. Stattdessen setzt das Unternehmen vollständig auf die Entra B2B-Integration.

Dieser Schritt soll mehr Kontrolle und Transparenz darüber bringen, wer auf sensible Daten zugreift. Doch er verursacht erhebliche Reibungsverluste für Organisationen, die an schnelle Freigabeworkflows gewöhnt sind. Externe Nutzer müssen künftig strengere Authentifizierungsprozesse durchlaufen, der Zugriff hängt stärker von zentralisierten Identitäts- und Gastrichtlinien ab. Administratoren wurden gewarnt, dass bestehende Freigabelinks möglicherweise nicht mehr funktionieren, wenn die Umgebungen nicht korrekt konfiguriert sind.

Marktbeobachter sehen diese Veränderungen als Teil der umfassenderen Secure Future Initiative (SFI) von Microsoft. Der 13. Microsoft Vulnerabilities Report, der im Frühjahr veröffentlicht wurde, zeigt: Während die Gesamtzahl der Schwachstellen im Ökosystem leicht zurückging, hat sich die Zahl kritischer Fehler verdoppelt. Dieser trend setzt Sicherheitsteams massiv unter Druck, hin zu „Secure-by-Design"-Architekturen zu migrieren, die das Least-Privilege-Prinzip priorisieren und veraltete Authentifizierungsprotokolle eliminieren.

Ausblick: Der Sommer der Sicherheitsupdates

Für Sicherheitsteams steht in den kommenden Wochen die Behebung der SharePoint-Spoofing-Lücke und die Härtung mandantenübergreifender Identitätskontrollen an oberster Stelle. Experten empfehlen, die Internet-Exposition von SharePoint-Servern durch VPNs oder Reverse-Proxies einzuschränken und auf verdächtige Aktivitäten zu achten, die auf mandantenübergreifende Identitätsdiebstähle hindeuten.

Der Sommer 2026 verspricht weitere Umwälzungen. Microsoft hat angekündigt, ab Oktober 2026 die Multi-Faktor-Authentifizierung (MFA) für alle Azure-Portal-Zugriffe verpflichtend zu machen. Bereits im Juni 2026 müssen Unternehmen auf neue Secure-Boot-Zertifikate umstellen. Diese Maßnahmen, kombiniert mit der Verdreifachung der Melderate von Schwachstellen durch KI-gestützte Erkennungswerkzeuge, lassen den Schluss zu: Das Zeitfenster zwischen Patch-Veröffentlichung und Ausnutzung wird weiter schrumpfen. Organisationen müssen auf automatisierte und prädiktive Schutzmechanismen setzen, um die Integrität ihrer externen Freigabeumgebungen zu wahren.

de | wissenschaft | 69279352 |