CISA warnt vor aktiven Angriffen auf SharePoint – Unternehmen müssen jetzt handeln

Deine Reaktion:

Stell dir vor: Morgens im Büro, Browser auf, SharePoint geöffnet. Alles wirkt normal. Dokumente, Kalender, synchronisiert. Kein Alarm, kein Hinweis. Doch möglicherweise schon seit Tagen hat ein Angreifer über eine von drei bestätigten Sicherheitslücken Zugang. Die US-Behörde CISA hat eine Dringlichkeitswarnung herausgegeben. Sie fordert Organisationen auf, ihre Microsoft SharePoint-Instanzen sofort zu härten, da drei Schwachstellen aktiv im Internet ausgenutzt werden.

Die Schwachstellen heißen CVE-2026-332201, CVE-2026-45659 und CVE-2026-56164. Alle drei stehen im Katalog bekannter ausgenutzter Schwachstellen (KEV). Das heißt: Es gibt bestätigte Angriffe, Handeln ist nötig. Besonders tückisch ist die letzte Lücke. Microsofts CVSS-System bewertet sie mit 5,3 – „mittel“. Die reale Gefahr liegt in der Kombination: Der Fehler ist aus der Ferne ohne Authentifizierung ausnutzbar und ermöglicht eine Privilegienausweitung. Das entspricht einer Tür, die nicht einmal ein Dietrich braucht – nur ein Herunterdrücken der Klinke.

Microsoft hat Sicherheitsupdates für unterstützte SharePoint-Versionen veröffentlicht und empfiehlt die Aktivierung der Antimalware Scan Interface (AMSI)-Integration. Damit sollen bösartige Anfragen erkannt werden. Doch Vorsicht: CISA betont, dass Patches allein nicht ausreichen, wenn ein Server bereits kompromittiert ist. Angreifer könnten persistente Hintertüren installiert haben. Die Behörde rät, die Microsoft-Notfallleitfäden zu befolgen, nach Indikatoren für Kompromittierung zu suchen und gegebenenfalls die SharePoint-Maschinenkeys zu rotieren.

Die beiden älteren Lücken sind keineswegs veraltet. CVE-2026-45659 ist eine unsichere Deserialisierungslücke, die Remotecodeausführung erlaubt – Microsoft selbst hatte sie im Mai noch als „weniger wahrscheinlich ausgenutzt“ eingestuft. Die Realität sieht anders aus. CVE-2026-32201 ist ein Eingabevalidierungsfehler, der Spoofing über das Netzwerk ermöglicht. Beide werden aktiv angegriffen. CISA stellt fest: Angreifer setzen zunehmend auf N-Day-Lücken, also bekannte Schwachstellen mit nicht zeitnah eingespielten Patches.

Der Sicherheitsexperte Chris Boehm, Field CTO bei Zero Networks, sagt: „Hört auf, die Patch-Geschwindigkeit als einzige Kennzahl zu betrachten. Das ist ein Rennen, das ihr irgendwann verliert.“ Einige dieser Lücken kamen als Zero-Day ohne sofortigen Fix, das Fenster zwischen Offenlegung und Ausnutzung schrumpft. Die strategische Frage für Vorstände und IT-Leiter sei nicht, ob ein Server kompromittiert wird – sondern wie viel Schaden ein einziger kompromittierter Server anrichten kann. Boehm plädiert für Netzwerksegmentierung als architektonische Grundlage. Wenn ein SharePoint-Server segmentiert nur das Nötigste erreicht, bleibt ein erfolgreicher Angriff ein isolierter Einbruch – keine Komplettübernahme der Infrastruktur.

Diese Perspektive verschiebt den Fokus vom bloßen Reagieren zum Vorbereiten. Patch-Management bleibt notwendig, ist aber nicht hinreichend. CISA gibt Bundesbehörden der zivilen Exekutive unter der Direktive BOD 22-01 drei Tage Zeit, um CVE-2026-56164 zu beheben. Für Unternehmen außerhalb des öffentlichen Sektors gibt es keine solche Frist – die Bedrohungslage ist identisch. Die Behörde empfiehlt: Internet-exponierte SharePoint-Instanzen sind ein bevorzugtes Einfallstor für Angreifer, die sich ersten Zugang zu Unternehmensnetzwerken verschaffen wollen.

Konkret bedeutet das für dein Unternehmen: Kein blinder Aktionismus, sondern systematische Überprüfung. Sind die SharePoint-Server aktuell gepatcht? Läuft AMSI? Gibt es Segmentierung, die bei einem Einbruch den Schaden begrenzt? Wird regelmäßig nach Anzeichen einer bereits erfolgten Kompromittierung gesucht? Ein Server, der bereits befallen ist, kann durch einen Patch allein nicht geheilt werden – er muss bereinigt oder neu aufgesetzt werden.

Die Analogie des Einbruchs hilft: Ein sicheres Haus hat nicht nur eine stabile Haustür (Patches), sondern auch Innenwände, die verhindern, dass ein Eindringling vom Keller direkt ins Schlafzimmer gelangt (Segmentierung). Dazu ein Alarmsystem (Threat Hunting) und die Gewohnheit, nach einem Einbruch nicht nur die Tür zu schließen, sondern nach Spuren zu suchen und das Schloss auszutauschen (Maschinenkeys rotieren).

CISA hat mit dieser Warnung ein klares Signal gesendet. Die Zeiten, in denen allein Patches ausreichten, sind vorbei. Angreifer sind schneller, Lücken zahlreicher, die Konsequenzen eines erfolgreichen Angriffs existenzbedrohend. Wer jetzt nicht handelt, setzt nicht nur die SharePoint-Umgebung aufs Spiel, sondern das gesamte Unternehmen. Prüfe deine Infrastruktur. Hol dir Hilfe, falls nötig – besser heute als morgen.

Quelle: computerworld.com

Deine Reaktion:
Artikel teilen:
Sebastian Krötzsch
Autor

Sebastian Krötzsch

Sebastian Krötzsch schreibt auf sebask.de über Künstliche Intelligenz, Automatisierung, digitale Systeme und die Frage, was davon im Alltag wirklich nützlich ist. Ohne Buzzword-Nebel, dafür mit klarem Blick auf Praxis, Tools und echte Wirkung.