SharePoint-Lücke, CVE-2026-45659

SharePoint-Lücke CVE-2026-45659: CISA warnt vor aktiven Ransomware-Angriffen

Veröffentlicht: 12.07.2026 um 22:36 Uhr, Redaktion boerse-global.de

Zwei Hacker-Gruppen nutzen zeitgleich eine schwerwiegende SharePoint-Sicherheitslücke aus. Unternehmen sind zu sofortigen Patches aufgerufen.

CISA warnt: Aktive Angriffe auf kritische Microsoft SharePoint Lücke
Digitales Vorhängeschloss-Symbol über verschwommenen Serverracks und Datenströmen, mit rotem Binärcode, symbolisiert einen Cybersicherheitsvorfall. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die US-Cybersicherheitsbehörde CISA hat eine schwerwiegende Sicherheitslücke in Microsoft SharePoint Server in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Der Fehler mit der Kennung CVE-2026-45659 wird bereits aktiv von Cyberkriminellen ausgenutzt.

Ransomware-Gruppen nutzen die Lücke parallel aus

Sicherheitsforscher haben zwei unterschiedliche Bedrohungscluster identifiziert, die die Schwachstelle gleichzeitig angreifen. Eine Gruppe mit dem Codenamen Storm-2603 setzt nach erfolgreicher Infiltration die Erpressungssoftware Warlock ein. Eine zweite Angriffswelle nutzt DLL-Seitenladetechniken, um sich dauerhaft auf kompromittierten Servern festzusetzen.

Die Verwundbarkeit mit einem CVSS-Score von 8,8 erlaubt es einem authentifizierten Angreifer selbst mit minimalen Benutzerrechten, Code aus der Ferne auf dem betroffenen Server auszuführen. Das Cybersicherheitsunternehmen Eye Security scannte über 8.000 SharePoint-Server und bestätigte, dass Dutzende bereits kompromittiert wurden.

Anzeige

Angriffe auf Server-Infrastrukturen zeigen, wie wichtig ein proaktiver Schutz der gesamten IT-Landschaft ist. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um Sicherheitslücken effektiv zu schließen. Neue KI-Gesetze und Cyberrisiken: Gratis-Report jetzt lesen

Technische Details und betroffene Versionen

Microsoft hatte die Sicherheitslücke bereits im Mai 2026 geschlossen. Die Patches für SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Server 2016 wurden Anfang des Jahres veröffentlicht, das offizielle Sicherheitsbulletin folgte jedoch erst am 21. Mai.

Der Angriffspfad verläuft über den Diebstahl von Maschinenschlüsseln. Mit diesen können Angreifer Authentifizierungstokens fälschen und sich seitlich durch das Netzwerk einer Organisation bewegen. Analysten berichten, dass ToolShell-Schwachstellen im Zusammenhang mit SharePoint bereits innerhalb weniger Tage nach ihrer öffentlichen Bekanntgabe angegriffen wurden.

Langfristige Risiken nach der Kompromittierung

Sicherheitsexperten warnen Identitäts- und Zugriffsmanagement-Teams eindringlich: Die Offenlegung von serverseitigen Geheimnissen wie Maschinenschlüsseln stellt ein erhebliches Langzeitrisiko dar. Selbst wenn die primäre Sicherheitslücke geschlossen wird, können Angreifer mit kompromittierten Schlüsseln weiterhin Standard-Authentifizierungsprotokolle umgehen.

Zu den empfohlenen Abwehrmaßnahmen gehören die gezielte Suche nach Post-Exploitation-Werkzeugen sowie spezifischen Indikatoren für eine Kompromittierung – etwa nicht autorisierte ASPX-Webshells oder ungewöhnliche ausgehende Verbindungen. Verteidigungsteams sollten zudem den Zugriff auf serverseitige Geheimnisse beschränken und Maßnahmen ergreifen, um die Auswirkungen kompromittierter Administratorkonten zu minimieren.

Anzeige

Neben technischen Schwachstellen nutzen Hacker oft auch menschliche Fehlbarkeit aus, um in Netzwerke einzudringen. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen, bevor es zu spät ist. Kostenlose Checkliste zur IT-Sicherheit jetzt sichern

Die Aufnahme von CVE-2026-45659 in den CISA-KEV-Katalog folgt auf eine Woche mit mehreren hochriskanten Sicherheitslücken, darunter separate kritische Fehler in Progress ShareFile-Speichercontrollern und Apache HTTP/2-Modulen. Für Unternehmen bedeutet dies eine Phase erhöhten Risikos für die gesamte IT-Infrastruktur.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69755855 |