Zum Hauptinhalt springen
S-EDV news
← Alle News
Windows & Microsoft 365 05.07.2026 · 4 min Lesezeit

SharePoint Server CVE-2026-45659: RCE wird aktiv ausgenutzt, CISA-Frist war 4. Juli 2026

CISA hat die seit Mai 2026 bekannte Deserialisierungs-RCE in Microsoft SharePoint Server am 1. Juli 2026 in den KEV-Katalog aufgenommen und eine 3-Tage-Frist gesetzt. Wer den Mai-Patch verpasst hat, sollte jetzt handeln.

Professionelle IT News Grafik zu Microsoft SharePoint Server mit der kritischen Sicherheitslücke CVE 2026 45659. Die Darstellung zeigt einen SharePoint Server mit Cyberangriffs Visualisierungen, Warnsymbolen und einer aktiven Remote Code Execution Schwach

Microsoft SharePoint Server enthält eine seit Mai 2026 bekannte Deserialisierungs-Schwachstelle, die nun nachweislich aktiv ausgenutzt wird. CISA hat CVE-2026-45659 am 1. Juli 2026 in den KEV-Katalog aufgenommen, die BOD-26-04-Frist für Bundesbehörden lief am 4. Juli 2026 ab. Für KMU mit eigenem SharePoint-Server ist die Lage ernst, weil ein authentifizierter Site-Member ausreicht, um Code auf dem Server auszuführen.

Was ist passiert?

Die Schwachstelle steckt in der Deserialisierung nicht vertrauenswürdiger Daten in Microsoft Office SharePoint. Ein authentifizierter Angreifer mit Site-Member-Rechten kann speziell präparierte Payloads an einen SharePoint-Endpunkt schicken, die der Server als Objektgraph wiederherstellt. Daraus resultiert eine Remote Code Execution als Anwendungspool des SharePoint-Servers. Der Patch wurde bereits im Mai 2026 ausgeliefert, Microsoft hatte die Offenlegung jedoch erst am 21. Mai 2026 öffentlich gemacht, sodass viele Installationen den Hinweis verpasst haben. CISA hat am 1. Juli 2026 die aktive Ausnutzung bestätigt.

Wer ist betroffen?

Betroffen sind Microsoft SharePoint Server 2016, SharePoint Server 2019 und SharePoint Server Subscription Edition. Voraussetzung ist lediglich, dass ein authentifizierter Nutzer mit Site-Member-Rechten existiert, was in Standardinstallationen praktisch immer der Fall ist. Patchstände vor dem Mai-2026-Update sind verwundbar. In freier Wildbahn beobachtete Angriffsmuster nutzen das DFIR-Tool Velociraptor, Cloudflare-Tunnel und Visual Studio Code SSH-Remote-Verbindungen, um Persistenz aufzubauen und Domain-Admin-Rechte zu erlangen. Nicht betroffen ist SharePoint Online in Microsoft 365, da die Cloud-Variante einen eigenen, vom On-Premises-Patch entkoppelten Update-Pfad hat.

Wie kritisch ist das?

Microsoft und NVD bewerten die Lücke mit CVSS 8.8 (Hoch). CISA KEV signalisiert zusätzlich bestätigte Ausnutzung in freier Wildbahn, wodurch die praktische Kritikalität deutlich über dem reinen CVSS-Wert liegt. Es handelt sich um eine authentifizierte RCE, nicht um eine Pre-Auth-Lücke, aber in produktiven Farmen mit externen Site-Member-Konten oder mit gestohlenen Credentials aus früheren Vorfällen ist der benötigte Erstzugriff realistisch. Die beobachtete Angriffskette endet bei der Übernahme des Domain-Administrators, was die Lage für kleine und mittlere Unternehmen besonders gefährlich macht.

Was sollten Admins jetzt tun?

  1. Inventar: Alle SharePoint-Server-Farmen listen, Version prüfen, ob das Mai-2026-Sicherheitsupdate installiert ist. Build-Versionsnummern mit dem Microsoft KB-Artikel für CVE-2026-45659 abgleichen.
  2. Patchstand: Den kumulativen SharePoint-Update-Stand aus dem Mai 2026 sofort einspielen, falls noch nicht geschehen. Anschließend das aktuelle Sicherheitsupdate vom Juli 2026 einspielen, sobald es im eigenen Wartungsfenster verfügbar ist.
  3. Berechtigungen: Site-Member-Rollen auf das notwendige Minimum reduzieren. Externe Konten mit Member-Rechten auf gehärtete Farmen prüfen, idealerweise über separate Web-Applications mit eigenem Authentifizierungs-Provider führen.
  4. Logs: In den IIS-Logs und SharePoint-ULS-Logs der vergangenen 30 Tage nach ungewöhnlichen aspx-Spinner-Aufrufen, neuen lokalen Administrator-Konten und ungewöhnlichen Process-Starts des SharePoint-Anwendungspools suchen.
  5. Verdachtsfall: Bei Anzeichen für Kompromittierung Velociraptor-Binary auf den Farm-Servern suchen, nach ungewöhnlichen Cloudflare-Tunnel-Prozessen und unbekannten SSH-Konfigurationen in Visual Studio Code suchen, Domain-Admin-Gruppe prüfen.
  6. Härtung: Falls nicht bereits gesetzt, AMSI-Integration für SharePoint aktivieren und Antimalware-Scan-Interface in der Farm-Konfiguration erzwingen, sodass Deserialisierungs-Payloads zur Laufzeit blockiert werden.

Einordnung für Unternehmen

Viele KMU betreiben SharePoint Server 2016 oder 2019 als On-Premises-Lösung, weil sie Dokumente und Wikis intern halten oder aus Datenschutzgründen nicht in die Cloud migrieren. Diese Installationen geraten bei CISA-KEV-Meldungen leicht in Vergessenheit, wenn kein automatisierter Patch-Prozess existiert. Die Schwachstelle zeigt erneut, dass Patchmanagement keine Monatsaufgabe sein darf, sondern jede einzelne CISA-KEV-Aufnahme innerhalb weniger Tage in eine Bewertung und einen Rollout münden muss. Wer die Frist 4. Juli 2026 verpasst hat, sollte nicht auf den nächsten regulären Patchday warten, sondern umgehend patchen und parallel auf Kompromittierungs-Indikatoren prüfen.

Passende Anleitungen auf S-EDV

  1. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist erklärt, wie Sie CISA-KEV-Einträge in Ihren Patch-Prozess einbinden.
  2. Microsoft Security Updates: Warum der monatliche Patch-Prozess sauber sein muss zeigt, welche Reihenfolge und Tests bei Microsoft-Updates sinnvoll sind.
  3. Microsoft Defender BlueHammer: Patchstand heute prüfen behandelt eine weitere aktiv ausgenutzte Microsoft-Lücke, die ergänzend zu prüfen ist.

Quellen

  1. CISA: Known Exploited Vulnerabilities Catalog, Eintrag CVE-2026-45659
  2. NVD: CVE-2026-45659 Detail
  3. Microsoft Security Response Center: CVE-2026-45659 Advisory
  4. The Hacker News: SharePoint RCE Added to CISA KEV
  5. Threat-Modeling.com: Technische Analyse der SharePoint-Deserialisierungs-RCE