CISA beschreibt CVE-2026-45659 als Schwachstelle in Microsoft SharePoint Server, bei der die Deserialisierung nicht vertrauenswürdiger Daten einem autorisierten Angreifer die Ausführung von Code über das Netzwerk erlaubt. Die Behörde nahm die Lücke am Mittwoch in den KEV-Katalog auf und verweist dabei ausdrücklich auf Nachweise für aktive Ausnutzung.
Microsoft hatte die Sicherheitslücke bereits im Mai 2026 behoben. Betroffen sind SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016. Nach Angaben des Herstellers kann jeder authentifizierte Angreifer die Schwachstelle auslösen; Administrator- oder andere erhöhte Rechte seien dafür nicht erforderlich. In einem Angriff über das Netzwerk reichen laut Microsoft minimale Berechtigungen als Site Member (PR:L), um Remotecodeausführung auf dem SharePoint-Server zu erreichen.
Trotz der laufenden Angriffe ist nach Angaben von Microsoft derzeit unklar, auf welche Weise CVE-2026-45659 in der Praxis missbraucht wird, wer hinter den Aktivitäten steht und welche Ziele verfolgt werden. In seinem Hinweis stuft der Konzern die Lücke mit der Bewertung „Ausnutzung weniger wahrscheinlich“ ein.
Wegen der aktiven Ausnutzung hat CISA Bundesbehörden der Federal Civilian Executive Branch angewiesen, die bereitgestellten Korrekturen bis zum 4. Juli 2026 einzuspielen.
Im Zusammenhang mit SharePoint-Umgebungen hatte Microsoft erst kürzlich über Erkenntnisse aus einer routinemäßigen Untersuchung eines Ransomware-Falls berichtet. Dabei stießen die Ermittler auf zwei nicht miteinander verbundene Angreifer, die gleichzeitig im selben Netzwerk operierten. Beide setzten laut Microsoft bewusst Techniken ein, um dauerhaften Zugriff aufzubauen und die Reaktion auf den Vorfall zu erschweren.
Einen Teil der Angriffe ordnet Microsoft der Gruppe Storm-2603 zu. Dieser Bedrohungsakteur ist dafür bekannt, Warlock-Ransomware zu verteilen, häufig durch die Ausnutzung bekannter Schwachstellen in lokal betriebenen SharePoint-Servern seit Mitte 2025. Im untersuchten Fall sei der Erstzugang allerdings wahrscheinlich über eine andere Schwachstelle versucht worden. Microsoft verweist auf Anfragen nach Dateien wie win.ini und web.config, was auf ein Auskundschaften für lokale Dateieinbindung hindeute. Die Hinweise deuten laut Microsoft auf CVE-2025-11371 mit einem CVSS-Wert von 9,1 hin, eine kritische Schwachstelle in Gladinet Triofox.
Nach dem Erstzugang setzten die Angreifer laut Microsoft Werkzeuge wie Velociraptor ein, um schädliche Aktivitäten in vertrauenswürdig wirkendes Administrationsverhalten einzubetten. Zudem richteten sie mehrere Fernzugriffskanäle über Cloudflare-Tunneling, Zoho Assist und über Visual Studio Code konfigurierte Secure-Shell-Verbindungen ein.
Darüber hinaus wurden die Rechte im betroffenen Umfeld ausgeweitet, indem neue lokale und Domänen-Administratorkonten angelegt wurden. Ein verwundbarer Treiber namens „NSecKrnl.sys“ diente dabei laut Microsoft als Mittel, um Endpunktschutzmechanismen zu manipulieren und so ihre Sichtbarkeit zu verringern.
Parallel dazu fand Microsoft Spuren eines zweiten, unabhängigen Bedrohungsakteurs in derselben Umgebung. Dieser nutzte DLL-Side-Loading und maßgeschneiderte Hintertüren, was die Zuordnung zusätzlich erschwerte. Weitere Untersuchungen ergaben schließlich, dass sich die Angreifer über das erste Netzwerk hinaus in eine zweite Organisation seitlich bewegt hatten, die nach Angaben von Microsoft durch dieselbe Storm-2603 zugeschriebene Ransomware-Aktivität kompromittiert worden war.
