Was, wenn eine einzige Schwachstelle in Ihrer Kollaborationsplattform ausreicht, um Angreifern vollen Code-Execution-Zugriff auf Ihren SharePoint-Server zu geben – ohne dass sie Admin-Rechte brauchen oder ein Nutzer auf einen Link klicken muss? Genau diese Bedrohung ist seit Anfang Juli 2026 Realität. Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat eine hochschwere Microsoft-SharePoint-Lücke in ihren Katalog der aktiv ausgenutzten Schwachstellen aufgenommen und damit einen klaren Alarm für Unternehmen, Behörden und Managed Service Provider ausgelöst.
Die Rede ist von CVE-2026-45659, einer Deserialisierungs-Schwachstelle, mit der sich authentisierte Angreifer mit minimalen Rechten beliebigen Code auf SharePoint Servern ausführen lassen. Microsoft hatte den Patch bereits am 21. Mai 2026 veröffentlicht, doch viele Installationen sind noch nicht aktualisiert. Shadowserver zählt derzeit über 10.000 internet-exponierte SharePoint-Server weltweit – eine große Angriffsfläche für eine Lücke, die sich laut CISA bereits im aktiven Exploit befindet. Im folgenden Artikel analysieren wir die technischen Details, die regulatorischen Fristen und konkrete Abwehrmaßnahmen.
Was ist CVE-2026-45659?
Deserialisierung als Einfallstor
CVE-2026-45659 beruht auf einer Deserialisierung nicht vertrauenswürdiger Daten in Microsoft SharePoint. Angreifer, die sich als Site-Mitglied authentifizieren können, schicken ein speziell präpariertes Objekt an den Server. Beim Deserialisieren dieses Objekts wird Code ausgeführt, den der Angreifer kontrolliert. Weil der Fehler in einer zentralen SharePoint-Komponente liegt, reichen laut Microsoft bereits Site-Member-Berechtigungen (PR:L) aus, um die Schwachstelle auszunutzen – also die niedrigste privilegierte Nutzerrolle innerhalb einer SharePoint-Site.
Der Angriff ist netzwerkbasiert (AV:N), komplexitätsarm (AC:L) und erfordert keine Benutzerinteraktion (UI:N). Das macht ihn besonders gefährlich für öffentlich oder halböffentlich erreichbare SharePoint-Farmen, etwa Extranets, Partnerportale oder interne Dienste, auf die per VPN zugegriffen wird. Sobald ein Account kompromittiert ist – sei es durch Phishing, Credential-Stuffing oder einen zuvor ausgenutzten Schwachstelle – steht dem Angreifer der Weg zur vollständigen Serverkontrolle offen.
CVSS und betroffene Versionen
Microsoft stuft CVE-2026-45659 mit einem CVSS-Score von 7.2 als „High“ ein. Die Einschätzung ist also nicht maximal, aber das täuscht: Der niedrige Berechtigungsbedarf und die Fernauslösbarkeit machen die Lücke im realen Umfeld hochkritisch. Betroffen sind:
- SharePoint Enterprise Server 2016
- SharePoint Server 2019
- SharePoint Server Subscription Edition
Microsoft 365 (die Cloud-Variante) und SharePoint Online sind von der lokalen Schwachstelle nicht betroffen, da Microsoft die Cloud-Infrastruktur zentral patched. Alle Organisationen, die SharePoint jedoch on-premises betreiben, müssen selbst aktiv werden. Microsoft hat die Sicherheitsupdates am 21. Mai 2026 nachgeliefert, nachdem der CVE versehentlich nicht im ursprünglichen Mai-Patch-Dienstag aufgeführt war. Die Detailseite im Microsoft Security Response Center listet die konkreten KB-Artikel und Download-Links.
CISA reagiert: KEV-Eintrag und BOD 26-04
Die Fristen des Known-Exploited-Vulnerabilities-Katalogs
Am 1. Juli 2026 hat CISA CVE-2026-45659 in seinen Known Exploited Vulnerabilities Catalog (KEV) aufgenommen. Der Eintrag bedeutet, dass CISA über verlässliche Hinweise verfügt, dass die Schwachstelle in realen Angriffen genutzt wird – nicht nur in theoretischen Proof-of-Concepts. Für US-Bundesbehörden (Federal Civilian Executive Branch, FCEB) hat CISA per Binding Operational Directive 26-04 eine harte Frist gesetzt: Die betroffenen Systeme müssen bis zum darauffolgenden Samstag, also 4. Juli 2026, gepatched oder aus dem Internet genommen werden.
BOD 26-04 wurde im Juni 2026 veröffentlicht und verlangt von Bundesbehörden eine risikobasierte Priorisierung. Entscheidend sind vier Kriterien: Ist die Lücke im KEV-Katalog? Lässt sie sich automatisiert großflächig ausnutzen? Ist das Asset öffentlich erreichbar? Und gewährt eine erfolgreiche Ausnutzung dem Angreifer partielle oder totale Kontrolle? Bei CVE-2026-45659 treffen alle vier Punkte zu – daher die extrem kurze Frist. Die offizielle CISA-Warnmeldung findet sich im Alert vom 1. Juli 2026.
Was der KEV-Eintrag für deutsche Unternehmen bedeutet
Der KEV-Katalog ist zwar rechtlich nur für US-Regierungsbehörden bindend, er gilt in der Praxis aber als Frühwarnsystem für die gesamte IT-Branche. Wenn CISA eine Schwachstelle als aktiv ausgenutzt markiert, folgen in der Regel innerhalb kurzer Zeit Exploit-Code, Scans und Angriffswellen weltweit. Deutsche Unternehmen mit SharePoint-on-premises, Kritische-Infrastruktur-Betreiber (KRITIS) und Dienstleister im Regulated-Sector sollten den KEV-Eintrag daher als direkten Handlungsaufruf verstehen. Auch das BSI empfiehlt regelmäßig, den CISA-KEV-Katalog in das eigene Patch-Management einzubeziehen.
Besonders gefährdet sind Organisationen, die SharePoint als Extranet oder Kundenportal betreiben. Dort existieren oft viele Benutzerkonten mit Site-Member-Rechten, die leichter kompromittiert werden können als globale Administratorkonten. Ein Angreifer muss also nicht erst den Domain-Admin stehlen – ein einfacher Site-Member reicht aus, um über CVE-2026-45659 Code auszuführen und von dort lateral zu anderen Systemen zu bewegen.
Die reale Gefahr für Unternehmen
Mehr als 10.000 Server exponiert
Das Internet-Sicherheitsprojekt Shadowserver registriert aktuell über 10.000 internet-erreichbare Microsoft-SharePoint-Server. Die genaue Zahl variiert je nach Scan-Zeitpunkt, die Größenordnung ist jedoch stabil. Die meisten Systeme stehen in den USA, gefolgt von Europa und Asien. Die Visualisierung der Zeitreihe ist öffentlich im Shadowserver-Dashboard einsehbar.
Wichtig ist: Nicht jeder dieser Server ist automatisch anfällig. Viele befinden sich hinter WAFs, VPNs oder auf aktuellem Patch-Stand. Doch selbst ein kleiner Prozentsatz ungepatchter Installationen bedeutet in absoluten Zahlen Hunderte potenzieller Opfer. Ransomware-Gruppen und Initial-Access-Broker scannen solche Schwachstellen systematisch ab und verkaufen den Zugang weiter – oft innerhalb von Stunden nach Veröffentlichung eines Patches.
Der typische Angriffsverlauf
Ein realer Angriff über CVE-2026-45659 könnte wie folgt ablaufen: Der Angreifer erlangt über ein gekapertes Site-Member-Konto Zugang zur SharePoint-Weboberfläche. Über die Deserialisierungslücke sendet er ein bösartiges Objekt, das im Anwendungspool-Prozess ausgeführt wird. Dadurch lässt sich ein Web-Shell-Dropper, ein Reverse-Shell-Loader oder ein Credential-Dumper auf dem Server platzieren.
Im nächsten Schritt nutzt der Angreifer die gewonnene Code-Ausführung, um das SharePoint-Farmkonto oder die Anwendungspool-Identität zu kompromittieren. Mit diesen Rechten kann er sich lateral durch das interne Netzwerk bewegen, Domain-Credentials abgreifen oder Datenbankverbindungen ausspionieren. Schließlich folgt Erpressung: Entweder durch klassische Ransomware-Verschlüsselung oder durch Datenexfiltration mit anschließender Drohung zur Veröffentlichung. CISA hat für Microsoft SharePoint seit 2021 insgesamt 11 Schwachstellen im KEV-Katalog verzeichnet, davon sieben im Kontext von Ransomware-Angriffen – ein Indikator dafür, wie attraktiv SharePoint für Erpresser ist.
Vergleich: SharePoint-Lücken der letzten Jahre
| CVE | Jahr | Schwere | Besonderheit | KEV / Ransomware |
|---|---|---|---|---|
| CVE-2026-45659 | 2026 | High (7.2) | Site-Member-Rechte genügen, keine User Interaction | Ja / noch offen |
| CVE-2026-33017 | 2026 | Critical | Langflow-relevant, aber nicht SharePoint | Nein |
| CVE-2025-3248 | 2025 | Critical | Langflow unauthenticated RCE, KI-Agent-Angriff | Ja / JadePuffer |
| CVE-2023-24955 | 2023 | High | SharePoint Server RCE, Teil einer Exploit-Kette | Ja |
| CVE-2021-34523 | 2021 | Critical | ProxyShell-Kette, weitreichende Auswirkungen | Ja / Ransomware |
Die Tabelle zeigt zwei Trends: Zum einen nimmt die Komplexität der Schwachstellen ab – statt komplizierter Ketten reichen heute oft einzelne Lücken mit niedrigem Berechtigungsbedarf. Zum anderen steigt die Geschwindigkeit, mit der CISA Lücken in den KEV-Katalog überführt. Was früher Wochen dauerte, passiert heute innerhalb von Tagen nach dem Patch-Dienstag.
Was Administratoren jetzt tun müssen
Patch sofort einspielen
Die wichtigste Maßnahme ist das sofortige Einspielen des Mai-2026-Updates für die betroffenen SharePoint-Versionen. Microsoft liefert kumulative Updates für SharePoint Server 2016, 2019 und Subscription Edition. Vor dem Patch sollte eine Sicherung der Farm, der Inhaltsdatenbanken und der Web.config-Dateien erfolgen. In SharePoint-Umgebungen ist es empfehlenswert, das Update zunächst in einer Testfarm zu validieren, bevor es produktiv ausgerollt wird – aber der Zeitraum dafür sollte maximal 24 bis 48 Stunden betragen.
Wer aus Kompatibilitätsgründen nicht sofort patchen kann, muss mindestens folgende Kompensationsmaßnahmen ergreifen: SharePoint-Server dürfen nicht direkt aus dem Internet erreichbar sein, sondern müssen hinter einer WAF oder einem VPN liegen. Site-Member-Konten sollten mit Multi-Faktor-Authentifizierung abgesichert werden. Zudem empfiehlt sich eine zeitnahe Überprüfung aller bestehenden Site-Member-Konten auf verdächtige Aktivitäten.
Netzwerksegmentierung und Monitoring
SharePoint-Server gehören in ein eigenes Netzsegment, das über Firewall-Regeln strikt vom Rest der IT getrennt ist. Der Anwendungspool-Account benötigt nur die absolut notwendigen Rechte auf SQL-Server- und Domain-Ebene. Ein privilegiertes Farmkonto sollte nie für alltägliche Dienste verwendet werden. Egress-Filter verhindern, dass ein kompromittierter Server ungehindert mit externen C2-Servern kommuniziert.
Im Security-Information-and-Event-Management-System (SIEM) sollten Administratoren Alerts auf ungewöhnliche SharePoint-Abfragen, unerwartete Prozessstarts (w3wp.exe, PowerShell, cmd.exe), Änderungen an Anwendungspool-Identitäten und verdächtige Datenbankzugriffe konfigurieren. Auch Endpoint-Detection-and-Response-Tools (EDR) auf den SharePoint-Servern helfen, post-exploitation-Aktivitäten frühzeitig zu erkennen.
Identitäten und Berechtigungen überprüfen
Weil Site-Member-Rechte für CVE-2026-45659 ausreichen, sollten Unternehmen alle SharePoint-Sites auf überflüssige Mitgliederberechtigungen prüfen. Externe Partnerkonten, verwaiste Testaccounts und veraltete Dienstkonten sind erste Kandidaten für eine Bereinigung. Berechtigungen sollten nach dem Least-Privilege-Prinzip vergeben werden – nur wer wirklich Zugriff braucht, bekommt ihn.
Gleichzeitig empfiehlt sich ein Review der Conditional-Access-Regeln. SharePoint-Zugriffe von außerhalb des Unternehmensstandorts oder von nicht verwalteten Endgeräten sollten zusätzlich abgesichert werden. Für sensible Sites kann eine explizite Genehmigung oder ein zeitlich begrenzter Zugriff eingerichtet werden.
Langfristige Lektionen aus CVE-2026-45659
Exposed Applications sind das größte Risiko
Die Lücke zeigt erneut, dass jede internet-erreichbare Anwendung, die nicht zeitnah gepatched wird, früher oder später zum Einfallstor wird. SharePoint ist ein komplexes Produkt mit langer Historie und großer Codebasis – entsprechend häufig werden Schwachstellen gefunden. Unternehmen, die SharePoint-on-premises betreiben, müssen daher einen Patch-Rhythmus etablieren, der monatliche oder sogar wöchentliche Zyklen vorsieht, sobald ein CVE im KEV-Katalog landet.
Für viele Organisationen ist der Zeitpunkt gekommen, die On-Premises-Strategie zu hinterfragen. Microsoft 365 und SharePoint Online übernehmen das Patching zentral und bieten zusätzliche Schichten wie Defender for Office 365, Purview und Conditional Access. Der Wechsel in die Cloud ist keine universelle Lösung, reduziert aber die Angriffsfläche für klassische Server-RCE-Lücken erheblich.
Backup- und Disaster-Recovery als letzte Verteidigungslinie
Selbst wenn alle präventiven Maßnahmen greifen, bleibt ein Restrisiko. Deshalb müssen Unternehmen für ihre SharePoint-Farmen ein funktionierendes Backup- und Wiederherstellungskonzept betreiben. Die Sicherungen sollten 3-2-1-konform sein: drei Kopien der Daten auf zwei verschiedenen Medien, wovon eine Kopie physisch getrennt liegt. Kritische Inhaltsdatenbanken lassen sich bei einem erfolgreichen Ransomware-Angriff so schneller wiederherstellen, als Lösegeld zu zahlen. Regelmäßige Restore-Tests stellen sicher, dass die Backups im Ernstfall auch wirklich funktionieren.
KI-gestützte Angreifer beschleunigen die Bedrohungslage
Die aktuelle Bedrohungslage wird zusätzlich durch agentische KI-Angriffe verschärft. Wie der Fall JadePuffer zeigt, können LLM-gesteuerte Agenten heute bereits eigenständig Schwachstellen ausnutzen, Credentials stehlen und Datenbanken verschlüsseln. Auch wenn der SharePoint-Angriff nicht explizit als KI-gestützt gemeldet wurde, senkt die Verbreitung agentischer Tools die Einstiegshürde für Angreifer dramatisch. Was früher Spezialisten vorbehalten war, kann heute ein automatisiertes Skript mit Sprachmodell-Hintergrund erledigen.
Defensiv bedeutet das: Sicherheitsteams müssen schneller werden als die Automatisierung der Angreifer. Wo früher Toleranzfenster von Wochen üblich waren, sind heute Stunden bis Tage gefragt. Das erfordert automatisierte Patch-Workflows, kontinuierliche Schwachstellen-Scans und eine enge Verzahnung von IT-Betrieb, Security-Operations-Center und Entwicklungsteams.
Im Fokus: Die wichtigsten Punkte auf einen Blick
- CVE-2026-45659 ist eine High-Schwere-Deserialisierungslücke in Microsoft SharePoint Server 2016, 2019 und Subscription Edition.
- Authentisierte Angreifer mit Site-Member-Rechten können beliebigen Code remote ausführen – ohne Admin-Rechte und ohne Nutzerinteraktion.
- CISA hat die Lücke am 1. Juli 2026 in den KEV-Katalog aufgenommen und US-Behörden eine sehr kurze Frist gesetzt.
- Shadowserver zählt weltweit über 10.000 internet-exponierte SharePoint-Server, die potenziell angreifbar sind.
- Administratoren müssen sofort patchen, Netzwerkzugriffe einschränken, MFA erzwingen und SharePoint-spezifisches Monitoring aktivieren.
- Langfristig sollte die On-Premises-Strategie überprüft und der Wechsel zu zentral gepatchten Microsoft-Cloud-Diensten erwogen werden.
Fazit
CVE-2026-45659 ist kein theoretisches Szenario, sondern eine real ausgenutzte Schwachstelle mit niedrigem Berechtigungsbedarf und hohem Schadenspotenzial. Der CISA-KEV-Eintrag vom 1. Juli 2026 unterstreicht die Dringlichkeit: Unternehmen, die SharePoint-on-premises betreiben, haben keinen Spielraum mehr. Der Patch vom 21. Mai 2026 muss jetzt flächendeckend ausgerollt werden.
Die Lücke verbindet sich mit einem breiteren Trend: Klassische Enterprise-Anwendungen wie SharePoint werden zunehmend zum Ziel automatisierter und oft krimineller Angreifer. Wer hier nicht zeitnah handelt, riskiert nicht nur Datenverlust und Betriebsunterbrechung, sondern auch regulatorische Konsequenzen und Reputationsschäden. Die gute Nachricht: Die Abwehrmaßnahmen sind bekannt – sie müssen nur konsequent umgesetzt werden. Patch, Segmentierung, MFA und Monitoring bilden das Minimum, um SharePoint-Farmen gegen CVE-2026-45659 und künftige Varianten zu wappnen.
Quellen: BleepingComputer, Microsoft MSRC, CISA KEV Catalog, Shadowserver, CISA Alert.
Verwandte Artikel: JadePuffer: KI-Agent führt Ransomware-Angriff aus, Microsoft Patch Tuesday Juni 2026, Cisco SD-WAN Zero-Day, SimpleHelp-Schwachstelle aktiv ausgenutzt.
