SharePoint-Schwachstelle, CVSS

SharePoint-Schwachstelle (CVSS 8,8): Maschinenschlüssel-Diebstahl in 17 Minuten

Veröffentlicht: 12.07.2026 um 23:30 Uhr, Redaktion boerse-global.de

Die US-Behörde CISA stuft eine SharePoint-Sicherheitslücke als aktiv ausgenutzt ein. Angreifer setzen sie für Ransomware und laterale Bewegungen ein.

CISA warnt: Aktive Ransomware-Angriffe auf kritische SharePoint-Lücke
Leuchtendes digitales Vorhängeschloss-Symbol über verschwommenen Server-Racks und Netzwerkkabeln, das eine kritische Cybersicherheitslücke darstellt. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die US-Sicherheitsbehörde CISA hat eine schwerwiegende Microsoft-SharePoint-Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Angreifer nutzen sie aktiv für Ransomware-Angriffe.

Die als CVE-2026-45659 registrierte Schwachstelle ermöglicht authentifizierten Angreifern mit minimalen Berechtigungen die ferngesteuerte Codeausführung auf betroffenen Systemen. Mit einem CVSS-Score von 8,8 gilt sie als hochkritisch. Microsoft hatte bereits im Mai 2026 Sicherheitsupdates für SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Server 2016 veröffentlicht – dennoch bleibt die Bedrohung akut.

Zwei Angreifergruppen im Visier

Sicherheitsforscher haben mindestens zwei unterschiedliche Bedrohungscluster identifiziert, die die Lücke aktiv ausnutzen. Die als Storm-2603 bekannte Gruppe setzt die Verwundbarkeit gezielt zur Verbreitung der Warlock-Ransomware ein. Eine zweite Gruppierung nutzt DLL-Seitenladetechniken und maßgeschneiderte Hintertüren, um in kompromittierten Umgebungen dauerhaft Fuß zu fassen.

Die Dringlichkeit zum Handeln steigt: Am 14. Juli 2026 veröffentlicht Microsoft kumulative Updates, die dauerhaft die Kerberos-RC4-Rollback-Kontrollen auf Domain-Controllern entfernen. Administratoren sollten daher umgehend sicherstellen, dass alle SharePoint-Farm-Server gepatcht sind und die Defender-Engine-Version 1.1.26060.3008 oder höher läuft.

Maschinenschlüssel-Diebstahl erleichtert laterale Bewegung

Anzeige

Die CISA hat die SharePoint-Lücke CVE-2026-45659 (CVSS 8,8) in den KEV-Katalog aufgenommen – Angreifer nutzen sie aktiv für Ransomware. Eye Security scannte über 8.000 Server und fand Dutzende kompromittierte Instanzen. Dieser Report zeigt Ihnen in 3 Schritten, wie Sie Ihre Farm patchen und Maschinenschlüssel schützen. Jetzt kostenlosen Notfall-Report anfordern

Neben der RCE-Lücke werden verwandte SharePoint-ToolShell-Schwachstellen bereits innerhalb weniger Tage nach ihrer Offenlegung aktiv angegriffen. Das Sicherheitsunternehmen Eye Security scannte über 8.000 SharePoint-Server und identifizierte Dutzende kompromittierte Instanzen.

Die Angriffe zielen auf den Diebstahl von Maschinenschlüsseln ab. Damit können Unbefugte Authentifizierungstoken fälschen und sich lateral durch Netzwerke bewegen. Die Geschwindigkeit solcher automatisierten Angriffe ist beachtlich: Branchendaten zufolge werden öffentlich exponierte Zugangsdaten wie AWS-Keys im Durchschnitt innerhalb von 17 Minuten von Angreifern abgegriffen – in einigen Fällen bereits nach neun Minuten.

Weitere Schwachstellen und Notfallmaßnahmen

Die Aufnahme der SharePoint-Lücke in den KEV-Katalog fällt mit mehreren anderen hochprioritären Sicherheitsentwicklungen zusammen. Am 11. und 12. Juli 2026 ergänzte CISA auch Schwachstellen in iCagenda (CVE-2026-48939, CVSS 10,0), Balbooa Forms (CVE-2026-56291), Langflow (CVE-2025-34291) und Trend Micro Apex One (CVE-2026-34926).

Anzeige

Automatisierte Angriffe greifen öffentlich exponierte Zugangsdaten im Durchschnitt innerhalb von 17 Minuten ab – bei SharePoint-ToolShell-Lücken sogar noch schneller. Der Diebstahl von Maschinenschlüsseln ermöglicht laterale Bewegung quer durch Ihr Netzwerk. Unser Notfallplan liefert die 5 wichtigsten Härtungen für den Maschinenschlüssel-Schutz und eine Schritt-für-Schritt-Ransomware-Abwehr. Maschinenschlüssel-Schutz jetzt sichern

In einer separaten Notfallmaßnahme ordnete Progress Software am 10. Juli 2026 die sofortige manuelle Abschaltung aller lokalen ShareFile Storage Zone Controller v5.x-Instanzen an. Hintergrund ist die Entdeckung einer glaubwürdigen externen Bedrohung durch eine Pre-Authentifizierungs-RCE-Kette (CVE-2026-2699 und CVE-2026-2701, CVSS 9,8 und 9,1). Da noch keine Patches verfügbar sind, sollen die Controller bis auf Weiteres offline bleiben.

Das Australian Cyber Security Centre warnte zudem am 12. Juli vor einer globalen Angriffswelle auf Content-Management-Systeme. Angreifer nutzen automatisierte Scans, um über bekannte Schwachstellen in WordPress, Joomla und Craft CMS Webshells zu platzieren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69755915 |