SharePoint-Lücke, CVE-2026-45659

SharePoint-Lücke CVE-2026-45659: CISA warnt vor 10.000 ungeschützten Servern

02.07.2026 - 22:32:47 | boerse-global.de

Die US-Behörde CISA stuft eine kritische SharePoint-Schwachstelle als aktiv ausgenutzt ein. Weltweit sind noch tausende Server ungepatcht.

CISA warnt vor SMS-2FA-Lücken und SharePoint-Sicherheitslücke
SharePoint-Lücke - Leuchtendes digitales Vorhängeschloss mit mehrschichtigem Authentifizierungssymbol für sichere Zwei-Faktor-Authentifizierung. 02.07.2026 - Bild: über boerse-global.de

Die US-Cybersicherheitsbehörde CISA drängt Unternehmen und Behörden zum Umstieg auf sicherere Authentifizierungsmethoden. Hintergrund ist eine drastische Zunahme von Angriffen, die SMS-basierte Zweifaktor-Authentifizierung (2FA) umgehen. Kriminelle nutzen gestohlene Zugangsdaten, SIM-Swapping und automatisierte Exploit-Plattformen, um selbst geschützte Konten zu knacken.

Gefährliche Lücke in Microsoft SharePoint

Erst am gestrigen Mittwoch, dem 1. Juli 2026, nahm die CISA eine kritische Sicherheitslücke in Microsoft SharePoint in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. Die als CVE-2026-45659 geführte Schwachstelle erlaubt es authentifizierten Angreifern mit einfachen Seitenmitgliedsrechten, beliebigen Code auszuführen – ein klassisches Deserialisierungs-Problem. Microsoft hatte zwar bereits Ende Mai 2026 ein Sicherheitsupdate veröffentlicht, doch Branchenbeobachter schätzen, dass weltweit noch über 10.000 SharePoint-Server ungeschützt im Netz erreichbar sind. US-Bundesbehörden müssen den Fehler bis zum 4. oder 5. Juli schließen.

Nur wenige Tage zuvor, am 29. Juni, hatte die CISA eine weitere Schwachstelle in der Fernwartungssoftware SimpleHelp aufgenommen. Der als CVE-2026-48558 registrierte Fehler erlaubt es Angreifern, die OpenID-Connect-Authentifizierung zu umgehen. Durch manipulierte Tokens können sie Techniker-Sitzungen übernehmen und sogar die Mehrfaktor-Authentifizierung aushebeln. Die Frist für US-Behörden zur Behebung dieser Lücke endete bereits am heutigen Donnerstag.

Lehren aus dem australischen Hypotheken-Skandal

Wie verwundbar SMS-basierte Verfahren sind, zeigt ein aktueller Fall aus der australischen Finanzbranche. Bereits im Februar 2026 gelang es Angreifern bei einem Einbruch in die Systeme von YouX, gestohlene Zugangsdaten mit abgefangenen SMS-Codes zu kombinieren. Die Folgen waren verheerend: Die Commonwealth Bank identifizierte bis März 2026 Hypotheken im Wert von umgerechnet rund 600 Millionen Euro, die auf betrügerische Weise zustande gekommen sein sollen. Die australische Finanzaufsicht APRA ermittelt.

Sicherheitsexperten fordern nun auch von Hypothekenbanken und anderen Hochrisikobranchen den Einsatz phishing-resistenter Verfahren – etwa Hardware-Schlüssel nach dem FIDO2-Standard. In Australien empfehlen die nationalen „Essential Eight"-Richtlinien diesen Schritt bereits.

Anzeige

Die CISA hat die kritische SharePoint-Lücke CVE-2026-45659 in den KEV-Katalog aufgenommen – weltweit noch über 10.000 Server ungeschützt. Unser kostenloser Leitfaden zeigt Ihnen in drei Schritten, wie Sie Ihre Systeme absichern und auf phishing-resistente MFA umsteigen. Sicherheits-Leitfaden per E-Mail anfordern

Microsoft baut Sicherheitsarchitektur um

Der Softwarekonzern Microsoft reagiert auf die zunehmenden Angriffe mit einem Ausbau seiner Sicherheitsfunktionen. Die Microsoft Authenticator-App unterstützt künftig Passkey-Profile für Entra ID (ehemals Azure Active Directory). Administratoren können zwischen gerätegebundenen und synchronisierten Passkeys wählen – ein wichtiger Schritt hin zu phishing-resistenten Anmeldungen.

Ab dem 6. Juli 2026 greifen zudem neue Conditional-Access-Regeln für Windows Hello for Business und macOS-Anmeldungen. Bis zum 30. September 2026 will Microsoft außerdem benutzerdefinierte MFA-Kontrollen durch externe Integrationen ersetzen. Die alten Verfahren werden voraussichtlich Mitte 2027 komplett abgeschaltet.

19-jähriger Hacker ausgeliefert – und neue Phishing-Welle

Erst am Dienstag dieser Woche sorgte ein Fall für Aufsehen: Der 19-jährige Peter Stokes, mutmaßliches Mitglied der berüchtigten Scattered Spider-Gruppe, erschien nach seiner Auslieferung aus Finnland vor einem Gericht in Chicago. Ihm werden mehrere Hacking- und Betrugsaktionen zur Last gelegt, darunter ein Einbruch bei einem Luxusjuwelier im Mai 2025 mit anschließenden Lösegeldforderungen in Millionenhöhe.

Anzeige

SMS-basierte 2FA ist nicht mehr sicher: Der australische Hypotheken-Skandal zeigt, wie Angreifer mit SIM-Swapping und gestohlenen Codes Millionen erbeuten. Unser Leitfaden erklärt den Umstieg auf FIDO2-Hardware-Schlüssel – inklusive SharePoint-Patch-Checkliste. FIDO2-Leitfaden anfordern

Parallel dazu warnt das FBI vor einer neuen „Phishing-as-a-Service"-Plattform namens Kali365, die seit April 2026 aktiv ist. Die Angreifer nutzen eine Schwachstelle im Geräte-Code-Login-Prozess von Microsoft 365 aus. Sie verschicken Phishing-Mails, die Empfänger auffordern, einen Code auf einer legitimen Microsoft-Seite einzugeben – und stehlen so die OAuth-Tokens. Die Mehrfaktor-Authentifizierung wird dabei elegant umgangen.

Die Dimension der Bedrohung verdeutlicht eine aktuelle Kampagne des Akteurs LSHIY LLC: Zwischen dem 12. und 26. Juni 2026 registrierten Sicherheitsforscher 81 Millionen Anmeldeversuche gegen Microsoft-365-Konten. In 78 Fällen waren die Angreifer erfolgreich – betroffen waren 64 Organisationen. Besonders perfide: Die Hacker nutzen häufig falsch konfigurierte Conditional-Access-Richtlinien aus, um die standardmäßigen Sicherheitsvorkehrungen zu umgehen.

de | wissenschaft | 69676761 |