Angriffe auf On-Prem-Server

Update: CISA warnt vor drei aktiv ausgenutzten Lücken in Microsoft Sharepoint

Uhr
von Joël Orizet und NetzKI Bot und rja, ahu

Die US-Cybersicherheitsbehörde CISA hat ihre Warnung vor Angriffen auf lokal betriebene Microsoft-Sharepoint-Server verschärft. Inzwischen nutzen Angreifer drei Sicherheitslücken aktiv aus. Unternehmen sollten die verfügbaren Sicherheitsupdates rasch installieren und ihre Systeme auf Anzeichen einer Kompromittierung überprüfen.

(Source: Dasharath Sunar / Unsplash.com)
(Source: Dasharath Sunar / Unsplash.com)

Update vom 16.07.2026: Cyberkriminelle greifen derzeit über drei bekannte Sicherheitslücken lokal betriebene Microsoft-Sharepoint-Server an. Betroffen sind alle unterstützten On-Premises-Versionen: Sharepoint Server 2016, Sharepoint Server 2019 sowie die Subscription Edition, wie die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) in einer Sicherheitsmeldung schreibt.

Nach Angaben der Sicherheitsorganisation Shadowserver sind derzeit noch immer knapp 10'000 Microsoft-Sharepoint-Server direkt über das Internet erreichbar. Mehr als 800 davon waren zuletzt noch nicht gegen mindestens zwei der drei aktiv ausgenutzten Schwachstellen abgesichert, wie "Bleeping Computer" unter Berufung auf Shadowserver berichtet. Wie viele Server auch für die dritte Schwachstelle anfällig sind, ist derzeit nicht bekannt.

Angreifer können sich dauerhaft einnisten

Die drei Schwachstellen tragen die Kennungen CVE-2026-32201, CVE-2026-45659 und CVE-2026-56164. Laut der CISA können Angreifer damit Authentifizierungsmechanismen umgehen, Schadcode aus der Ferne ausführen und sich dauerhaft auf kompromittierten Systemen einnisten. Nach einem erfolgreichen Angriff können sie unter anderem sogenannte IIS-Machine-Keys - kryptografische Schlüssel des Microsoft-Webservers Internet Information Services (IIS) - stehlen und anschliessend weitere Schadsoftware installieren.

Die CISA führt inzwischen alle drei Schwachstellen in ihrem Katalog der aktiv ausgenutzten Sicherheitslücken. US-Bundesbehörden müssen Systeme, die von CVE-2026-56164 betroffen sind, bis spätestens 17. Juli absichern oder ausser Betrieb nehmen, falls sie die erforderlichen Schutzmassnahmen nicht umsetzen können.

Die CISA empfiehlt Organisationen, sämtliche aktuellen Sicherheitsupdates einzuspielen, deren erfolgreiche Installation zu überprüfen und betroffene Server engmaschig auf verdächtige Aktivitäten zu überwachen. Ausserdem sollten sie die Antimalware Scan Interface (AMSI)-Integration für Sharepoint-Webanwendungen aktivieren. Die Schnittstelle ermöglicht es Sicherheitssoftware, Inhalte und Anfragen auf Schadcode zu untersuchen.

Darüber hinaus rät die Behörde, Sharepoint-Server nicht direkt über das Internet erreichbar zu machen, sofern dies nicht zwingend erforderlich ist. Wo ein externer Zugriff notwendig ist, sollten Organisationen die Server hinter einem Reverse Proxy betreiben, der eine Authentifizierung voraussetzt und Anfragen auf Anwendungsebene prüft und filtert. Zudem empfiehlt die CISA, den externen Zugriff auf die zentrale Sharepoint-Administration zu sperren und die Kommunikation mit Datenbanken und anderen Systemen auf das notwendige Mass zu beschränken.
 

Originalmeldung vom 03.07.2026: 

Angreifer nehmen Sharepoint-Server ins Visier

Eine schwerwiegende Sicherheitslücke in Microsoft Sharepoint rückt in den Fokus von Cyberkriminellen. Die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) nahm die Schwachstelle in ihren Katalog der aktiv ausgenutzten Sicherheitslücken auf, wie "Bleeping Computer" berichtet.

Die Sicherheitslücke trägt die Kennung CVE-2026-45659 und betrifft Sharepoint Enterprise Server 2016, Sharepoint Server 2019 sowie die Sharepoint Server Subscription Edition. Laut Microsoft benötigen Angreifer lediglich ein Benutzerkonto mit den minimalen Berechtigungen eines Site-Mitglieds. Administratorrechte seien nicht erforderlich. Da sich die Schwachstelle über das Netzwerk ausnutzen lässt, können Angreifer grundsätzlich auch über das Internet Schadcode einschleusen, sofern ein Sharepoint-Server öffentlich erreichbar ist.

Sicherheitsupdate im Mai veröffentlicht

Technisch geht die Lücke auf eine sogenannte Deserialisierung nicht vertrauenswürdiger Daten zurück. Vereinfacht gesagt verarbeitet Sharepoint manipulierte Datenpakete nicht ausreichend sicher. Dadurch können Angreifer eigenen Programmcode auf dem Server ausführen. Das National Institute of Standards and Technology (NIST), die US-Behörde, die unter anderem die nationale Schwachstellendatenbank NVD betreibt, beschreibt die Lücke als Möglichkeit für autorisierte Angreifer, über das Netzwerk Schadcode auszuführen.

Microsoft veröffentlichte das Sicherheitsupdate bereits am 21. Mai 2026. Nach Angaben des Unternehmens fehlte die Schwachstelle versehentlich in den ursprünglichen Sicherheitsupdates für Mai. Microsoft dokumentierte die Schwachstelle deshalb nachträglich und ergänzte den Sicherheitshinweis. In den FAQ weist das Unternehmen zudem darauf hin, dass auch Organisationen mit Sharepoint Server 2016 das Update für Sharepoint Enterprise Server 2016 installieren sollten, da dieselbe Knowledge-Base-Nummer (KB) - Microsofts Kennzeichnung für ein bestimmtes Update - beide Produktvarianten absichert.

Nach Recherchen von "Bleeping Computer" registriert die gemeinnützige Sicherheitsorganisation Shadowserver derzeit weiterhin mehr als 10'000 öffentlich erreichbare Sharepoint-Server. Wie viele Betreiber ihre Server inzwischen gegen die Schwachstelle abgesichert haben, ist allerdings nicht bekannt.

CISA erhöht den Druck auf Behörden

CISA hat US-Bundesbehörden angewiesen, die Schwachstelle bis spätestens 4. Juli zu schliessen oder die von Microsoft empfohlenen Schutzmassnahmen umzusetzen. In ihrer Warnung bezeichnet die Behörde solche Sharepoint-Schwachstellen als häufigen Angriffsvektor. Seit 2021 nahm die CISA bereits elf nachweislich ausgenutzte Sharepoint-Sicherheitslücken in ihren Katalog auf. Sieben davon kamen laut der Behörde auch bei Ransomware-Angriffen zum Einsatz.

"Bleeping Computer" erinnert zudem daran, dass Microsoft bereits im April eine Sharepoint-Sicherheitslücke schliessen musste, die Angreifer zuvor als Zero Day - also noch vor der Veröffentlichung eines Sicherheitsupdates - aktiv ausgenutzt hatten. Die erneuten Angriffe zeigen, dass lokal betriebene Sharepoint-Server weiterhin zu den bevorzugten Zielen von Cyberkriminellen gehören.


Übrigens: Bereits im März 2026 warnte die CISA vor einer aktiv ausgenutzten Sharepoint-Sicherheitslücke. Weshalb ungepatchte Server weiterhin ein beliebtes Angriffsziel bleiben, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
EXLxSqij