SharePoint RCE CVE-2026-45659: Aktiv ausgenutzt

SharePoint RCE CVE-2026-45659 wird aktuell aktiv ausgenutzt, und die von der US-Behörde CISA gesetzte Frist für Bundesbehörden läuft morgen, am 4. Juli, ab. Die mit CVSS 8,8 bewertete Deserialisierungs-Schwachstelle erlaubt es jedem authentifizierten Nutzer mit einfachen Site-Member-Rechten, Code aus der Ferne auf dem Server auszuführen. Shadowserver zählt aktuell mehr als 10.000 im Internet erreichbare SharePoint-Server mit unbekanntem Patch-Status — und Microsofts eigene Advisory-Kommunikation ist Teil des Problems.
Was ist passiert
CVE-2026-45659 ist eine Deserialisierungs-Schwachstelle in nicht vertrauenswürdigen Daten, die Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016 betrifft. Microsoft bewertet sie mit CVSS 8,8 und bestätigt, dass jeder authentifizierte Angreifer — ohne Administrator- oder erweiterte Rechte — die Lücke über das Netzwerk auslösen kann. Ein Nutzer mit lediglich Site-Member-Berechtigung reicht für eine vollständige Remote Code Execution aus.
Der Fix wurde bereits im Mai-2026-Patch-Tuesday-Zyklus ausgeliefert: KB5002863 (Subscription Edition, Build 16.0.19725.20280), KB5002870 (Server 2019, Build 16.0.10417.20128) und KB5002868 (Server 2016, Build 16.0.5552.1002). Das Problem: CVE-2026-45659 wurde versehentlich aus dem ursprünglichen Mai-Advisory-Text ausgelassen. Organisationen, die Patches anhand von CVE-Referenzen statt anhand vollständiger kumulativer Updates verfolgen, hatten damit keinen Anlass, die Lücke zu priorisieren.
CISA nahm die Schwachstelle am 1. Juli 2026 in ihren Known Exploited Vulnerabilities (KEV)-Katalog auf und bestätigte aktive Ausnutzung; die Frist für US-Bundesbehörden (Federal Civilian Executive Branch) läuft am 4. Juli ab. Der internetweite Scan von Shadowserver zeigt aktuell mehr als 10.000 exponierte SharePoint-Instanzen — ohne Kenntnis darüber, wie viele davon bereits abgesichert wurden.
Warum das wichtig ist
SharePoint ist in der überwiegenden Mehrheit deutscher Mittelstandsumgebungen fest verankert, häufig on-premises neben Active Directory und Exchange betrieben — und ebenso häufig außerhalb des Patch-Management-Fokus, der sonst internetexponierten Perimeter-Geräten vorbehalten ist. Die ungewöhnlich niedrige Rechteschwelle — ein normales internes Site-Member-Konto, kein Administrator — bedeutet: Ein einziges phishing-erbeutetes oder wiederverwendetes Zugangsdatum innerhalb der Organisation genügt für vollständige Remote Code Execution auf dem SharePoint-Server, mit allen Folgen für laterale Bewegung, Dokumenten-Exfiltration und weiteres Credential Harvesting.
Für NIS2-regulierte Unternehmen ist dieser Vorfall zudem eine Lektion darüber, dass Vollständigkeit von Advisories selbst eine Kontroll-Lücke darstellen kann. Eine Schwachstelle kann technisch wochenlang „gepatcht“ sein und organisatorisch trotzdem ungepatcht bleiben — einfach weil der Fix beim Release nicht korrekt referenziert wurde. Patch-Management-Prozesse, die anhand von CVE-Nummern statt anhand installierter kumulativer Updates prüfen, übersehen genau solche Fälle.
Was Sie jetzt tun sollten
- Sofortmaßnahme: Das passende kumulative Update einspielen — KB5002863 für Subscription Edition, KB5002870 für Server 2019 oder KB5002868 für Server 2016, je nach Deployment.
- Prüfen: Aktuelle Build-Nummer gegen die gepatchten Builds (16.0.19725.20280 / 16.0.10417.20128 / 16.0.5552.1002) abgleichen — „Mai-Updates installiert“ allein reicht nicht als Bestätigung, da diese CVE im damaligen Advisory fehlte.
- Mitigierung: Falls kein Patch innerhalb von 24 Stunden möglich ist, Site-Member-Gruppenmitgliedschaften als Zwischenmaßnahme verschärfen, da der Angriffspfad genau diese Rechtestufe voraussetzt.
- Monitoring: SharePoint-Application-Pool-Prozesse (w3wp.exe) auf unerwartete Kindprozesse wie cmd.exe oder powershell.exe prüfen und IIS-/ULS-Logs auf ungewöhnliche Deserialisierungsfehler oder Absturzmuster im Zeitraum der KEV-Aufnahme durchsehen.
DIESEC Einschätzung
Das ist dasselbe Muster, das wir dieses Jahr bereits bei Splunk, Veeam und PTC Windchill aufgezeigt haben: Ein Herstellerpatch existiert, aber der Prozess, mit dem eine Organisation „wir sind geschützt“ verifiziert, passt nicht zum Prozess, mit dem der Hersteller den Fix kommuniziert hat. Bei SharePoint kommt hinzu: Die niedrige Ausnutzungsschwelle bedeutet, dass die übliche Perimeter-zuerst-Logik hier nicht greift — interne Segmentierung und Identity-Hygiene zählen genauso stark wie das Patch-Timing.
Nicht sicher, ob Ihre SharePoint-Umgebung noch für CVE-2026-45659 anfällig ist? Kontaktieren Sie DIESEC für eine schnelle Patch-Verifizierung und Site-Member-Berechtigungsprüfung.
Quellen: The Hacker News | BleepingComputer
Veröffentlicht: 2026-07-06 | Kategorie: Tägliche News | ~4 Min. Lesezeit

