Thought Leadership
Microsoft behebt mit CVE-2026-45659 eine RCE-Schwachstelle in SharePoint. Angreifer mit geringen Rechten konnten Schadcode auf Servern ausführen.
Der Softwarehersteller Microsoft hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht, um eine kritische Schwachstelle in seiner kollaborativen Plattform SharePoint Server zu schließen. Die Schwachstelle wird unter der Kennung CVE-2026-45659 geführt und hat nach dem Common Vulnerability Scoring System einen Schweregrad von 8,8 von 10 möglichen Punkten erhalten. Damit ist das Risiko als hoch und die Dringlichkeit als wichtig eingestuft worden. Die Sicherheitslücke ermöglicht es entfernten Angreifern, Schadcode auf den betroffenen Servern auszuführen, ohne dass hierfür administrative Privilegien erforderlich sind.
Die Entscheidung von Microsoft, den Patch als Out-of-Band-Update direkt bereitzustellen, anstatt auf den regulären monatlichen Patchday zu warten, unterstreicht die potenzielle Gefahr für Unternehmensnetzwerke. Betreiber von On-Premises-Systemen sind aufgerufen, die bereitgestellten Aktualisierungen unverzüglich zu installieren, um ihre Systeme vor einer Kompromittierung zu schützen.
Deserialisierungsschwachstelle in Microsoft SharePoint
Die Ursache des Sicherheitsproblems liegt in der fehlerhaften Verarbeitung von eingehenden Datenstrukturen durch die SharePoint-Anwendung. Konkret handelt es sich um eine Schwachstelle bei der Deserialisierung von nicht vertrauenswürdigen Daten. Wenn SharePoint Datenpakete von einem Benutzer empfängt, rekonstruiert das System die darin enthaltenen Objekte im Arbeitsspeicher. Fehlen an dieser Stelle strikte Validierungsfilter oder Typprüfungen, kann ein Angreifer manipulierte Datenströme einspeisen. Beim Deserialisierungsprozess führt der Webserver diese präparierten Objekte aus, was letztlich zu einer Remotecodeausführung im Kontext des SharePoint-Dienstkontos führt.
Für einen erfolgreichen Angriff müssen keine komplexen Randbedingungen erfüllt sein. Die Ausnutzung erfordert lediglich, dass der Akteur über ein gültiges Benutzerkonto im System verfügt. Dabei reichen minimale Berechtigungen, wie sie standardmäßig der Rolle eines einfachen Website-Mitglieds zugewiesen sind. Administrative Rechte oder erhöhte Privilegien sind nicht notwendig. Über einen netzwerkbasierten Angriffspfad kann ein authentifizierter Nutzer so Befehle direkt auf dem zugrundeliegenden Windows-Server ausführen, Daten manipulieren oder Schadprogramme nachladen. Da der SharePoint-Workerprozess w3wp.exe in vielen Unternehmen mit weitreichenden Rechten im Active Directory operiert, bietet ein erfolgreicher Einbruch einen optimalen Ausgangspunkt für laterale Bewegungen im gesamten Firmennetzwerk.
SharePoint Server Subscription Edition, 2019 und Enterprise Server 2016
Die Veröffentlichung der Sicherheitsupdates deckt mehrere Generationen der Server-Software ab, die in produktiven Geschäftsumgebungen im Einsatz sind. Microsoft hat die entsprechenden Patches für die folgenden Plattformversionen freigegeben: SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016. Ältere Versionen, die sich bereits außerhalb des erweiterten Supportzeitraums befinden, erhalten keine standardmäßigen Sicherheitskorrekturen mehr, obwohl sie technologisch oft ähnliche Code-Strukturen aufweisen.
Entdeckt und an den Hersteller gemeldet wurde die Schwachstelle von einem Sicherheitsforscher, der in den offiziellen Dokumentationen von Microsoft unter dem Pseudonym MEOW aufgeführt wird. Bislang sind dem Hersteller keine öffentlichen Exploit-Codes oder aktiven Ausnutzungen in der Wildnis bekannt, weshalb die Einstufung der Ausnutzungswahrscheinlichkeit vorerst als geringer deklariert wurde.
Bedrohungslage für Kollaborationsplattformen durch Spionagegruppen
Die Entdeckung von CVE-2026-45659 reiht sich ein in eine Serie von kritischen Sicherheitsvorfällen, die SharePoint-Systeme in den vergangenen Monaten belasteten. Erst im April 2026 musste Microsoft eine Spoofing-Schwachstelle unter der Kennung CVE-2026-32201 beheben. Diese wies zwar einen niedrigeren CVSS-Wert von 6.5 auf, wurde jedoch bereits vor der Bereitstellung eines Patches aktiv von Hackergruppen als Zero-Day-Exploit ausgenutzt, um Identitäten zu fälschen und vertrauliche Dokumente abzusaugen. Die US-Sicherheitsbehörde CISA fügte diesen Fehler umgehend ihrem Katalog bekanntermaßen ausgenutzter Schwachstellen hinzu.
Historische Analysen von Sicherheitsunternehmen verdeutlichen, dass On-Premises-SharePoint-Server zu den primären Zielen staatlich gelenkter Spionagegruppen und Ransomware-Akteuren gehören. In der Vergangenheit nutzten chinesische Gruppierungen wie Linen Typhoon und Violet Typhoon wiederholt Schwachstellen in dieser Plattform, um geistiges Eigentum aus Regierungsbehörden, Universitäten und Rüstungsunternehmen zu entwenden. Auch Ransomware-Netzwerke wie Storm-2603 setzen auf SharePoint-Lücken, um Verschlüsselungskampagnen großflächig in Unternehmensnetzwerken zu starten.
Im Juli 2025 wurde zudem eine komplexe Kette von Schwachstellen namens ToolShell dokumentiert, die unter anderem für Angriffe auf die US-Atomwaffenbehörde missbraucht wurde. Da SharePoint-Server als zentrale Datenspeicher für Verträge, Patente und interne Kommunikationsprotokolle dienen, ist der Blast-Radius bei einem erfolgreichen Netzwerkeinbruch extrem hoch.
Handlungsempfehlungen für das IT-Risikomanagement
Da On-Premises-Architekturen oft unvollständig überwacht werden oder durch komplexe Altsystem-Integrationen schwer zu patchen sind, empfiehlt das IT-Risikomanagement eine mehrschichtige Verteidigungsstrategie. Die primäre und effektivste Maßnahme bleibt das sofortige Einspielen der von Microsoft bereitgestellten Knowledge-Base-Updates für die jeweilige Server-Version. Ergänzend sollten Administratoren das Prinzip der minimalen Rechtevergabe im Active Directory strikt durchsetzen und überprüfen, welche Benutzerkonten standardmäßig über Website-Mitgliedsrechte auf den SharePoint-Farmen verfügen.
Eine restriktive Netzwerksegmentierung, die den Zugriff auf die SharePoint-Schnittstellen auf interne Netzwerke oder verschlüsselte VPN-Verbindungen beschränkt, verringert die Angriffsfläche im Internet spürbar. Zudem wird der Einsatz von Web Application Firewalls empfohlen, um bekannte Deserialisierungs-Muster in HTTP-POST-Anfragen vor dem Erreichen des IIS-Webservers zu blockieren. Langfristig raten Analysten Unternehmen dazu, die Migration auf cloudbasierte Alternativen wie SharePoint Online zu prüfen, um den operativen Aufwand permanenter manueller Patch-Prozesse zu minimieren.
