SharePoint-Lücke CVE-2026-58644: Kritische Sicherheitslücke mit CVSS 9,8
Veröffentlicht: 18.07.2026 um 23:03 Uhr, Redaktion boerse-global.de
Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle nun in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen.
Gefährliche Deserialisierungs-Schwachstelle
Am 16. Juli 2026 stufte die CISA die als CVE-2026-58644 bekannte Lücke als aktiv ausgenutzt ein. Mit einem CVSS-Score von 9,8 gilt sie als kritisch. Angreifer können ohne Authentifizierung aus der Ferne Code ausführen – und damit Server vollständig kontrollieren.
Betroffen sind die On-Premises-Versionen von SharePoint Server 2016, 2019 und der Subscription Edition. Microsoft hatte bereits am 14. Juli ein Sicherheitsupdate bereitgestellt. Bundesbehörden in den USA müssen dieses bis zum 19. Juli einspielen.
Sicherheitsforscher beobachten eine Angriffskette, die CVE-2026-58644 mit drei weiteren Lücken kombiniert: CVE-2026-32201, CVE-2026-45659 und CVE-2026-56164. Ziel ist die Rechteausweitung und der Diebstahl von IIS-Maschinenschlüsseln für dauerhaften Zugriff.
Angriffswelle auf Cloud-Identitäten
Neben Server-Schwachstellen rücken Identitätssysteme in den Fokus. Forscher von Proofpoint identifizierten zwei großangelegte Kampagnen mit OAuth-Client-ID-Spoofing gegen Microsoft Entra ID.
Die als UNK_pyreq2323 bezeichnete Gruppe operierte zwischen Januar und März 2026. Die Angreifer nutzten über 700.000 gefälschte Client-IDs, um mehr als eine Million Konten in 4.000 verschiedenen Mandanten anzugreifen. Rund 28 Prozent der Zielkonten wurden dauerhaft gesperrt.
Angriffe auf Identitätssysteme und Cloud-Zugänge zeigen, wie wichtig ein proaktiver Schutz der IT-Infrastruktur heute ist. Dieses kostenlose E-Book liefert Unternehmern fundierte Informationen zu aktuellen Cyberbedrohungen und zeigt wirtschaftliche Wege zur Absicherung auf. IT-Sicherheit stärken und Unternehmen proaktiv schützen
Eine zweite Gruppe, UNK_OutFlareAZ, ist seit Ende 2025 aktiv. Sie soll zwei Millionen Nutzer mit fast 3,7 Millionen gefälschten IDs attackiert haben. Diese Methode erlaubt es Angreifern, gestohlene Zugangsdaten zu prüfen, ohne die üblichen Erfolgsmeldungen in Entra-Protokollen auszulösen.
Das FBI warnte zudem vor der Phishing-as-a-Service-Plattform Kali365. Dieser Dienst missbraucht den OAuth-Gerätecode-Fluss, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Opfer werden per E-Mail getäuscht, gefälschte Gerätecode-Anfragen zu bestätigen – und übergeben damit ein OAuth-Token an die Angreifer.
Neue Tarnmethoden bei Phishing-Mails
Seit April 2026 wurden über eine Million Phishing-E-Mails mit einer Technik namens Text-Salting registriert. Dabei fügen Angreifer unsichtbare oder versteckte harmlose Schlüsselwörter in den E-Mail-Text ein, um KI-gestützte Scanner zu täuschen.
Der China-nahe Akteur UNC6508 kompromittierte Server, um Googles Content-Compliance-Regeln auszunutzen. Die Gruppe installierte stille BCC-Regeln für rund 150 Schlüsselbegriffe aus Militär, Medizin und Geostrategie – und zapfte so Forschung und Verteidigungskommunikation ab.
Ob Text-Salting oder CEO-Fraud – Hacker nutzen immer raffiniertere psychologische Tricks, um Sicherheitsbarrieren in Unternehmen zu umgehen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in vier Schritten, wie Sie Ihr Team effektiv gegen moderne Cyberkriminalität wappnen. Gratis Anti-Phishing-Ratgeber für Unternehmen herunterladen
Die Gruppe Mustang Panda zielt auf indische Regierungseinrichtungen und nutzt Zoho WorkDrive als Kommando-Kanal. Ein weiterer mutmaßlich chinesischer Akteur, UNK_MassTraction, attackiert seit Mai 2026 Universitäten in den USA und Kanada. Die Angreifer nutzen Schwachstellen in Roundcube-Mailservern, um Daten aus Physik- und Ingenieurfakultäten zu stehlen.
Open-Source-Abwehr und internationale Erfolge
Am 18. Juli 2026 veröffentlichte Capital One das KI-Tool VulnHunter als Open Source. Es basiert auf dem Claude Opus 4.8-Framework und scannt Code von Angreifer-Einstiegspunkten aus. Ein Falsifikationsmodul prüft potenzielle Exploits und reduziert Fehlalarme um rund 50 Prozent im Vergleich zu herkömmlichen Scannern.
Bereits Anfang 2026 zerschlugen Europol, Microsoft und Coinbase das Tycoon 2FA-Phishing-Netzwerk. Vor seiner Abschaltung versendete die Plattform monatlich Millionen schädlicher E-Mails und hatte schätzungsweise 100.000 Organisationen kompromittiert – durch Diebstahl von Sitzungscookies zur MFA-Umgehung.
Das NadMesh-Botnetz, Anfang Juli 2026 entdeckt, scannt nach exponierten KI-Diensten und stiehlt AWS-Keys und Kubernetes-Tokens. Bereits tausende eindeutige Cloud-Zugangsschlüssel sollen abgeflossen sein.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
