SharePoint-Lücke CVE-2026-45659: Storm-2603 verbreitet Ransomware
Veröffentlicht: 04.07.2026 um 13:38 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben eine neue Technik entdeckt, die Active-Directory-Umgebungen über einen ungewöhnlichen Weg angreifbar macht.
Statt des üblichen LDAP-Protokolls nutzen Angreifer nun Active Directory Web Services (ADWS) auf Port 9389. Das berichtet die Sicherheitsfirma SOC Prime Anfang Juli. Der Trick: Während Security Operations Center (SOC) ihren Fokus auf LDAP-Traffic legen, bleibt die ADWS-Enumeration oft unbemerkt. Ein Proof-of-Concept-Tool namens ADWSHound macht diese Art der Datensammlung möglich.
So schützen sich Unternehmen
Die Empfehlung der Experten ist klar: Organisationen sollten den Datenverkehr auf Port 9389 überwachen und Event 1644 im Auge behalten. Auch sogenannte Canary Objects – digitale Köder im Netzwerk – sowie konfigurierte System Access Control Lists (SACLs) können helfen, unautorisierte Zugriffe zu entdecken.
Massiver Ansturm auf Microsoft 365
Die neue Methode kommt zu einem Zeitpunkt, an dem die Angriffe auf Microsoft-Infrastruktur ohnehin massiv zunehmen. In der zweiten Junihälfte registrierten Sicherheitsexperten eine gewaltige Password-Spraying-Kampagne: Rund 81 Millionen Anmeldeversuche innerhalb von 14 Tagen. Das Ergebnis: 78 kompromittierte Konten in 64 verschiedenen Organisationen.
Die Angreifer nutzten den ROPC-OAuth-Flow (Resource Owner Password Credentials) – eine veraltete Methode, die Multi-Faktor-Authentifizierung umgehen kann. Ein Großteil des Datenverkehrs stammte offenbar aus der Infrastruktur von LSHIY LLC.
Wer die kritische SharePoint-Lücke CVE-2026-45659 und die neue ADWS-Enumerationstechnik von Storm-2603 richtig einordnen will, findet im kostenlosen Report die wichtigsten Schutzmaßnahmen – von der Überwachung von Port 9389 bis zum Patch-Management. Jetzt kostenlosen Sicherheits-Report anfordern
Kritische SharePoint-Lücke wird aktiv ausgenutzt
Während die Aufklärungsmethoden immer raffinierter werden, bleiben auch klassische Schwachstellen im Fokus der Angreifer. Die Sicherheitsbehörden schlagen Alarm wegen CVE-2026-45659, einer kritischen Sicherheitslücke in SharePoint Server. Der Fehler liegt in einem Deserialisierungsproblem und ermöglicht Remote-Code-Ausführung.
Microsoft hatte im Mai einen Patch bereitgestellt – doch in den letzten Tagen wurde aktive Ausnutzung gemeldet. Die Hackergruppe Storm-2603 setzt die Lücke ein, um Warlock-Ransomware zu verteilen. Die US-Behörde CISA hat die Schwachstelle in ihren Katalog bekannter Exploits aufgenommen und setzt Bundesbehörden eine Frist Anfang Juli für die Aktualisierung.
KI-gestützte Malware-Frameworks
Während Ihr SOC auf LDAP-Traffic fokussiert ist, nutzen Angreifer längst ADWS auf Port 9389 – unbemerkt. Der Report zeigt, wie Sie mit Event 1644 und Canary Objects die Lücke schließen, bevor Warlock-Ransomware zuschlägt. ADWS-Schutzleitfaden jetzt sichern
Die Bedrohungslage wird durch eine neue Generation modularer Malware zusätzlich verschärft. Forscher von Blackpoint Cyber identifizierten Anfang Juli das Framework Avalon, das die CrownX-Ransomware ausliefert. Besonders beunruhigend: Avalon wurde offenbar mit KI-Unterstützung entwickelt und kann Passwörter stehlen, sich lateral im Netzwerk bewegen und Schattenkopien löschen, um die Wiederherstellung zu erschweren.
Parallel dazu entdeckte Cisco Talos die Phishing-as-a-Service-Plattform ARToken. Sie nutzt KI-gestützte Automatisierung für Device-Code-Phishing – gezielt auf Microsoft-365-Authentifizierungstoken, um Business-E-Mail-Compromise-Angriffe (BEC) durchzuführen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
