CISA kennzeichnet SharePoint CVE-2026-45659 als in Angriffen ausgenutzt, und Behörden haben bis zum 4. Juli Zeit zur Behebung

Die von Microsoft am 26. Mai behobene Remote-Code-Ausführungsschwäche blieb Monate ohne Patch auf exponierten Servern. CISA fügte sie am 1. Juli dem KEV-Katalog hinzu, und The Hacker News erläuterte den Angriff am 2. Juli.
Was die CISA dem KEV-Katalog hinzugefügt hat
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat am 1. Juli die Schwachstelle CVE-2026-45659, eine Remote-Code-Ausführung in Microsoft SharePoint Server, in den Katalog der Bekannt Ausgenutzten Schwachstellen (KEV) aufgenommen. Die Ergänzung setzt den 4. Juli als Frist für die zivilen Bundesbehörden des Exekutivbereichs zur Anwendung des Patches fest, eine der kürzesten Fristen, die die CISA in diesem Jahr auferlegt hat, was auf das Gewicht hinweist, das die Agentur dem laufenden Angriff beimisst. Die detaillierte Berichterstattung erschien am 2. Juli bei The Hacker News.
Mit einem CVSS-Wert von 8.8 resultiert die Schwachstelle aus der Deserialisierung von nicht vertrauenswürdigen Daten (CWE-502) und betrifft die drei unterstützten Editionen von SharePoint vor Ort: Subscription Edition, Server 2019 und Enterprise Server 2016. Microsoft stellte den Patch am 26. Mai zur Verfügung, aber der Zeitraum von 36 Tagen zwischen Fehlerbehebung und Hinzufügung zum KEV zeigt, dass diejenigen mit exponierter Schwachstelle ausreichend Zeit hatten, um Ziel zu werden.
Warum Site Member der kritische Punkt ist
Das technische Detail, das die Verantwortlichen für SharePoint vor Ort am meisten besorgt, ist das Mindestprivilegienanforderung. Der Angreifer benötigt lediglich eine gültige Berechtigung auf der Ebene „Site Member“, dem niedrigsten in der hierarchischen Zusammenarbeit der Plattform. In typischen Unternehmensumgebungen hat fast jeder Mitarbeiter standardmäßig diesen Zugriff, was jede kompromittierte Berechtigung in Passwort-Dumps oder durch Phishing in eine direkte Möglichkeit zur Ausführung von Code auf dem Server verwandelt.
Die CISA hat keine Details zu den beobachteten Angriffen veröffentlicht, was der Standard der Agentur ist, wenn das Risiko besteht, die Technik zu replizieren. Microsoft hat auf die Anfrage von The Hacker News nicht zu dem spezifischen Vektor Stellung genommen. Was die Threat Intelligence-Analysten von Anbietern wie Rapid7 und Tenable beobachten, ist die klassische Handschrift von Gruppen, die nach einem Patch scannen: Sie warten auf die Veröffentlichung, reproduzieren die Ausbeutung und suchen nach Zielen, die das monatliche Bulletin vom Mai nicht angewendet haben.
Zwei geografien und dasselbe strukturelle Problem
Die Warnung kommt von der CISA, aber SharePoint vor Ort existiert in Rechtssystemen, in denen die amerikanische Agentur keinen Einfluss hat. In der Schweiz veröffentlichte Swiss Security Insights parallel einen Leitfaden zur Behebung für private Banken und den öffentlichen Sektor und erinnerte daran, dass die Version Subscription Edition noch die dokumentarische Grundlage einer beträchtlichen Anzahl von Kantonen ist. In Deutschland registriert das BSI dasselbe Muster in Landesregierungen und im Verteidigungssektor, wo SharePoint 2019 aus Gründen der Datensouveränität weiterhin installiert ist. In beiden Fällen bedeutet das „Site Member“ als niedrigste Berechtigung, dass Steuerprüfer, Staatsanwälte und externe Lieferanten zu einem Vektor der Eskalation werden.
Der Konvergenzpunkt zwischen den Märkten: In multinationalen Umgebungen wird der Patch von Mai von Microsoft zentral verteilt, hängt jedoch von lokalen Wartungsfenstern ab. Eine globale Bank mit SharePoint, das in acht Ländern repliziert wurde, wendet das Bulletin innerhalb von drei Tagen in der Zentrale an und kann Wochen benötigen, um die entfernten Einheiten zu erreichen. Genau diese Lücke wollte die CISA schließen, als sie die Frist des KEV auf drei Werktage verkürzte.
Was wir noch nicht wissen
Microsoft hat öffentlich nicht die Anzahl der betroffenen Organisationen bestätigt oder den Vektor nach der Deserialisierung detailliert beschrieben. Auch die CISA hat dies nicht getan. In solchen Fällen erfordert der journalistische Akribismus erhöhte Aufmerksamkeit bezüglich der Wortwahl. Es ist nicht möglich zu behaupten, dass "Ransomware-Gruppen die Schwachstelle ausnutzen", ohne eine Bestätigung des Opfers oder der Regulierungsbehörde. Was wir bis zur Veröffentlichung dieses Artikels kennen: die Ausbeutung ist aktiv, die Frist für den Bund ist der 4. Juli, der Patch ist seit dem 26. Mai verfügbar. Das Sicherheitsteam, das das Bulletin vom Mai noch nicht angewendet hat, hat weniger als 72 Stunden Zeit, bevor die offizielle amerikanische Referenz zu einem internen Auditstandard in Banken, Versicherungen und öffentlichen Einrichtungen wird.
Die realen Kosten der Verzögerung sind kein Bußgeld der CISA. Es ist die nächste Prüflinie, die interne Prüfer ziehen werden, wenn die KEV-Liste zur obligatorischen Checkliste in der ISO 27001- und SOC 2-Politik wird. Ab diesem Mittwoch wird jeder SharePoint-Server ohne den Patch vom Mai zu einem automatischen Finding in jeder Compliance-Überprüfung, und das gilt von New York bis São Paulo, von Zürich bis Singapur. Für Cloud-Betreiber, die in der Folge regulatorische Anforderungen weiterhin SharePoint-Seiten vor Ort betreiben, ist die Rechnung noch schlimmer: Die Ausnahme für die veraltete Infrastruktur wird zum Risikovektor, der den Rest der Infrastruktur trägt.