SchwachstellenHackerangriffeCloud-Sicherheit

Über 1.300 ungepatche SharePoint-Server: Spoofing-Lücke wird aktiv ausgenutzt

Über 1.300 ungepatche SharePoint-Server: Spoofing-Lücke wird aktiv ausgenutzt
Zusammenfassung

Über 1.300 Microsoft SharePoint-Server im Internet sind weiterhin anfällig für eine Spoofing-Schwachstelle, die bereits als Zero-Day ausgenutzt wurde und gegen die viele Systeme immer noch nicht gepatcht sind. Die Sicherheitslücke CVE-2026-32201 betrifft SharePoint Enterprise Server 2016, SharePoint Server 2019 und die neueste On-Premises-Version SharePoint Server Subscription Edition. Angreifer ohne spezielle Berechtigungen können die Schwachstelle durch mangelnde Eingabevalidierung ausnutzen, um sich als vertrauenswürdige Quellen auszugeben und auf sensible Informationen zuzugreifen. Obwohl Microsoft die Patches bereits im April 2026 bereitgestellt hat, sind bislang weniger als 200 der über 1.300 exponierten Server aktualisiert worden. Das Cybersecurity- und Infrastructure Security Agency (CISA) der USA hat die Schwachstelle in seinen Katalog der ausgenutzte Schwachstellen aufgenommen und fordert Bundesbehörden zur sofortigen Patching auf. Für deutsche Unternehmen und Behörden, die SharePoint on-premises einsetzen, besteht ein erhebliches Sicherheitsrisiko, da die Schwachstelle gezielt von Cyberkriminellen ausgenutzt wird. Eine schnelle Patching ist notwendig, um potenzielle Datenverluste und Systemkompromittierungen zu verhindern.

Die Sicherheitslücke CVE-2026-32201 betrifft mehrere Versionen des Microsoft SharePoint-Systems: SharePoint Enterprise Server 2016, SharePoint Server 2019 und die neueste On-Premises-Version SharePoint Server Subscription Edition. Microsoft beschrieb die Schwachstelle als Validierungsfehler bei der Eingabeverarbeitung, die es Angreifern ohne spezielle Privilegien ermöglicht, Network-Spoofing-Attacken durchzuführen.

Besonders bemerkenswert ist die geringe Komplexität von Exploits für diese Lücke – Angreifer benötigen keinerlei Benutzerinteraktion. Laut Microsoft können erfolgreiche Angriffe zu einer Offenlegung sensibler Informationen führen, zudem können Angreifer Änderungen an Daten vornehmen. Die Verfügbarkeit der Ressourcen ist aber nicht gefährdet.

Das Sicherheitsforschungsunternehmen Shadowserver warnte diese Woche vor der mangelnden Reaktion der betroffenen Organisationen. Von über 1.300 exponierten Servern seien bislang weniger als 200 aktualisiert worden. Dies deutet auf ein erhebliches Sicherheitsrisiko hin, das viele Unternehmen offenbar unterschätzen.

Die CISA handelte schnell: Am selben Tag, an dem Microsoft die Patches veröffentlichte, wurde CVE-2026-32201 in das Katalog der “Known Exploited Vulnerabilities” aufgenommen. Für US-amerikanische Bundesbehörden erließ die CISA eine Directive, wonach alle SharePoint-Server bis zum 28. April gepatcht sein müssen. Die Begründung ist klar: Diese Art von Schwachstelle ist ein häufiges Angriffsziel von Cyberkriminellen und stellt erhebliche Risiken dar.

Für deutsche Unternehmen und Behörden sollte dies ein Warnzeichen sein. SharePoint ist eine weit verbreitete Plattform, und viele deutsche Organisationen nutzen die betroffenen Versionen. Experten raten dringend zur sofortigen Überprüfung und zum schnellstmöglichen Einspielen von Sicherheitsupdates.

Das Incident verdeutlicht ein grundsätzliches Problem im Sicherheitsmanagement: Auch wenn kritische Patches zur Verfügung stehen, verzögern sich deren Installation oft um Wochen oder Monate. Organisationen sollten ein effektives Patch-Management-System etablieren, um solche Verzögerungen zu minimieren.

Ähnliche Artikel