SharePoint-Lücke, CVE-2026-45659

SharePoint-Lücke CVE-2026-45659: Ransomware-Angreifer nutzen kritischen Fehler

Veröffentlicht: 04.07.2026 um 16:56 Uhr, Redaktion boerse-global.de

Microsoft SharePoint weist eine hochriskante Sicherheitslücke auf, die bereits von Erpressungssoftware-Gruppen genutzt wird. US-Behörden müssen den Fehler sofort beheben.

CISA warnt: Kritische SharePoint-Lücke CVE-2026-45659 aktiv ausgenutzt
Glühendes digitales Vorhängeschloss auf unscharfem Server-Rack, Symbol für eine Cybersicherheitslücke in SharePoint. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die US-Cybersicherheitsbehörde CISA hat eine schwerwiegende Sicherheitslücke in Microsoft SharePoint Server in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Die als CVE-2026-45659 bekannte Schwachstelle erlaubt Angreifern die ferngesteuerte Codeausführung – und wird bereits aktiv von mehreren Bedrohungsakteuren ausgenutzt.

Bundesbehörden der USA wurden angewiesen, den Fehler bis zum heutigen Samstag zu beheben. Die Dringlichkeit ist enorm: Sicherheitsforscher haben die Schwachstelle mit einem CVSS-Score von 8,8 als hochriskant eingestuft.

Was genau ist passiert?

Die Lücke betrifft die On-Premises-Versionen von SharePoint Server 2016, 2019 sowie die Subscription Edition. Ein authentifizierter Angreifer mit lediglich Site-Member-Berechtigungen – also einem relativ niedrigen Privilegienlevel – kann die Schwachstelle ausnutzen, um Code aus der Ferne auf dem Server auszuführen.

Die Angriffskomplexität ist gering, und es ist keine Interaktion eines legitimen Nutzers erforderlich. Das macht die Lücke besonders gefährlich. Microsoft hatte die Schwachstelle zunächst als weniger wahrscheinlich für eine Ausnutzung eingestuft – eine Einschätzung, die sich nun als falsch erwiesen hat.

Ransomware und Mehrfachangriffe

Cybersicherheitsanalysten haben die Ausnutzung der Lücke mit der Bedrohungsgruppe Storm-2603 in Verbindung gebracht. Diese Gruppe setzt die Schwachstelle ein, um die Erpressungssoftware Warlock zu verbreiten. Die Angreifer nutzen die Lücke für verschiedene Zwecke: Datendiebstahl, laterale Bewegung innerhalb kompromittierter Netzwerke und vollständige Systemübernahmen.

Besonders alarmierend: In einigen Fällen entdeckten Ermittler zwei voneinander unabhängige Bedrohungsakteure, die gleichzeitig im selben Opfernetzwerk operierten. Die Gruppen nutzen eine Reihe von Werkzeugen, um Zugriff zu behalten und sich durch Systeme zu bewegen – darunter Cloudflare-Tunneling, Zoho Assist und SSH-Verbindungen über Visual Studio Code.

Anzeige

Wer die aktive Ausnutzung von CVE-2026-45659 durch Storm-2603 für sein Unternehmen bewerten will, findet in diesem kostenlosen Report die wichtigsten Sofort-Maßnahmen – von Patch-Checkliste bis Web-Shell-Erkennung. Jetzt kostenlosen Sicherheits-Report anfordern

Einige Angreifer kombinieren die SharePoint-Lücke zudem mit einer weiteren schwerwiegenden Schwachstelle in Gladinet Triofox (CVE-2025-11371).

Verspätete Reaktion und offene Fragen

Obwohl Microsoft bereits im Mai 2026 Patches veröffentlichte, fehlte die spezifische CVE-Nummer in den ursprünglichen Release-Notes. Das wirft Fragen auf: Wurde die Dringlichkeit unterschätzt? Die Lücke ist bereits die dritte SharePoint-Schwachstelle, die 2026 aktiv ausgenutzt wird.

Seit 2021 wurden insgesamt 11 SharePoint-Sicherheitslücken in den CISA-Katalog aufgenommen – sieben davon wurden in Ransomware-Angriffen genutzt. Laut Netzwerküberwachung von Shadowserver sind noch immer mehr als 10.000 SharePoint-Server mit dem Internet verbunden.

Handlungsempfehlungen für Unternehmen

Administratoren sollten umgehend ihren Patch-Status überprüfen. Zu den empfohlenen Maßnahmen gehören:

Anzeige

Mehrere Bedrohungsakteure gleichzeitig im selben Netzwerk? Dieser Report zeigt, wie Sie laterale Bewegung unterbinden und die Gladinet-Triofox-Kombi-Angriffe abwehren. Schutz vor Mehrfachangriffen jetzt sichern

  • Einspielen der Mai-Updates
  • Ausführen notwendiger Konfigurations-Wizards wie PSConfig
  • Aktivierung der Multi-Faktor-Authentifizierung
  • Einschränkung der Netzwerkexposition
  • Überwachung der Systemlogs auf Anzeichen von Web-Shells oder ungewöhnlichen Berechtigungsänderungen

Die Lektion aus diesem Vorfall ist klar: Unternehmen sollten Sicherheitsupdates nicht auf die lange Bank schieben – und die Einschätzung von Softwareherstellern zur Ausnutzungswahrscheinlichkeit kritisch hinterfragen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69689479 |