Angreifer nehmen Sharepoint-Server ins Visier
Cyberkriminelle nutzen derzeit eine schwerwiegende Sicherheitslücke in Microsoft Sharepoint aus. Die US-Cybersicherheitsbehörde CISA warnt: Wer eigene Sharepoint-Server betreibt, sollte die bereitstehenden Sicherheitsupdates rasch einspielen.
Eine schwerwiegende Sicherheitslücke in Microsoft Sharepoint rückt in den Fokus von Cyberkriminellen. Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) nahm die Schwachstelle in ihren Katalog der aktiv ausgenutzten Sicherheitslücken auf, wie "Bleeping Computer" berichtet.
Die Sicherheitslücke trägt die Kennung CVE-2026-45659 und betrifft Sharepoint Enterprise Server 2016, Sharepoint Server 2019 sowie die Sharepoint Server Subscription Edition. Laut Microsoft benötigen Angreifer lediglich ein Benutzerkonto mit den minimalen Berechtigungen eines Site-Mitglieds. Administratorrechte seien nicht erforderlich. Da sich die Schwachstelle über das Netzwerk ausnutzen lässt, können Angreifer grundsätzlich auch über das Internet Schadcode einschleusen, sofern ein Sharepoint-Server öffentlich erreichbar ist.
Sicherheitsupdate im Mai veröffentlicht
Technisch geht die Lücke auf eine sogenannte Deserialisierung nicht vertrauenswürdiger Daten zurück. Vereinfacht gesagt verarbeitet Sharepoint manipulierte Datenpakete nicht ausreichend sicher. Dadurch können Angreifer eigenen Programmcode auf dem Server ausführen. Das National Institute of Standards and Technology (NIST), die US-Behörde, die unter anderem die nationale Schwachstellendatenbank NVD betreibt, beschreibt die Lücke als Möglichkeit für autorisierte Angreifer, über das Netzwerk Schadcode auszuführen.
Microsoft veröffentlichte das Sicherheitsupdate bereits am 21. Mai 2026. Nach Angaben des Unternehmens fehlte die Schwachstelle versehentlich in den ursprünglichen Sicherheitsupdates für Mai. Microsoft dokumentierte die Schwachstelle deshalb nachträglich und ergänzte den Sicherheitshinweis. In den FAQ weist das Unternehmen zudem darauf hin, dass auch Organisationen mit Sharepoint Server 2016 das Update für Sharepoint Enterprise Server 2016 installieren sollten, da dieselbe Knowledge-Base-Nummer (KB) - Microsofts Kennzeichnung für ein bestimmtes Update - beide Produktvarianten absichert.
Nach Recherchen von "Bleeping Computer" registriert die gemeinnützige Sicherheitsorganisation Shadowserver derzeit weiterhin mehr als 10'000 öffentlich erreichbare Sharepoint-Server. Wie viele Betreiber ihre Server inzwischen gegen die Schwachstelle abgesichert haben, ist allerdings nicht bekannt.
CISA erhöht den Druck auf Behörden
CISA hat US-Bundesbehörden angewiesen, die Schwachstelle bis spätestens 4. Juli zu schliessen oder die von Microsoft empfohlenen Schutzmassnahmen umzusetzen. In ihrer Warnung bezeichnet die Behörde solche Sharepoint-Schwachstellen als häufigen Angriffsvektor. Seit 2021 nahm die CISA bereits elf nachweislich ausgenutzte Sharepoint-Sicherheitslücken in ihren Katalog auf. Sieben davon kamen laut der Behörde auch bei Ransomware-Angriffen zum Einsatz.
"Bleeping Computer" erinnert zudem daran, dass Microsoft bereits im April eine Sharepoint-Sicherheitslücke schliessen musste, die Angreifer zuvor als Zero Day - also noch vor der Veröffentlichung eines Sicherheitsupdates - aktiv ausgenutzt hatten. Die erneuten Angriffe zeigen, dass lokal betriebene Sharepoint-Server weiterhin zu den bevorzugten Zielen von Cyberkriminellen gehören.
Übrigens: Bereits im März 2026 warnte die CISA vor einer aktiv ausgenutzten Sharepoint-Sicherheitslücke. Weshalb ungepatchte Server weiterhin ein beliebtes Angriffsziel bleiben, lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
BACS probt Cyberresilienz von Gemeinden und Unternehmen
Update: US-Regierung erlaubt Freigabe von Claude Fable 5
Angreifer nehmen Sharepoint-Server ins Visier
Cyberkriminelle tarnen Ransomware als Interpol-Beweismaterial
Betrüger verbreiten Malware über vermeintliche Zoom-Updates
Angreifer überfordern IT-Abteilungen mit Warnmeldungen
Angreifer umgehen MFA bei Microsoft 365 mit altem Anmeldeverfahren
Wenn das Vorstellungsgespräch von einer KI geführt wird
EFK sieht Mängel bei der Entflechtung der Armee-IT