CISA hat am Dienstag eine Warnung zu drei aktiv ausgenutzten SharePoint-Schwachstellen veröffentlicht. Die Lücken CVE-2026-32201, CVE-2026-45659 und CVE-2026-56164 betreffen laut Behörde alle unterstützten lokal betriebenen SharePoint-Server-Versionen. Dazu gehört auch SharePoint Server Subscription Edition, also die aktuelle On-Premises-Version mit fortlaufendem Update-Modell.

In ihrem Hinweis beschreibt CISA die Angriffskette vergleichsweise klar: Die Schwachstellen werden genutzt, um Schutzmechanismen bei der Anmeldung zu umgehen, Remotecodeausführung zu erreichen und im Anschluss weitere Schritte auf kompromittierten Systemen durchzuführen. Dazu zählen laut Behörde das Entwenden von IIS-Maschinenschlüsseln, der Aufbau von Persistenz und die Vorbereitung zur Verteilung von Malware.

Zusätzlich hat CISA zwei weitere SharePoint-Sicherheitslücken hervorgehoben: CVE-2026-55040 und CVE-2026-58644. Microsoft hat beide am Dienstag gepatcht und als besonders attraktive Ziele für Angreifer eingestuft. Hinweise auf eine Ausnutzung in freier Wildbahn gibt es dafür bislang allerdings nicht.

Wie groß die potenzielle Angriffsfläche ist, zeigt eine Einordnung von Shadowserver. Die Internet-Sicherheitsorganisation erfasst derzeit fast 10.000 über das Internet erreichbare Microsoft-SharePoint-Server. Mehr als 800 davon sind nach diesen Angaben noch nicht gegen CVE-2026-32201 und CVE-2026-45659 abgesichert. Unklar bleibt jedoch, wie viele Systeme auch für Angriffe über CVE-2026-56164 anfällig sind oder ob sich unter den sichtbaren Instanzen Honeypots befinden.

CISA rät Sicherheitsteams, betroffene Server engmaschig auf Anzeichen einer Ausnutzung zu überwachen und die neuesten Microsoft-Patches einzuspielen. Die Behörde empfiehlt außerdem, die erfolgreiche Installation der Updates zu überprüfen, Patch-Zyklen zu verkürzen und die Windows Antimalware Scan Interface-Integration für SharePoint-Webanwendungen zu aktivieren. Auch Erkennungen von Microsoft Defender Antivirus sollen genutzt werden, um Kompromittierungen zu erkennen und zu beheben.

Zu den weiteren Härtungsmaßnahmen zählt CISA die Suche nach Einbruchsspuren und deren Beseitigung, bevor IIS-Maschinenschlüssel ausgetauscht werden. Hinzu kommen speziell angepasste Protokollierung zur Erkennung ungewöhnlicher Aktivitäten, der Verzicht auf direkte Internet-Erreichbarkeit von SharePoint-Servern, sofern sie nicht zwingend nötig ist, sowie die Prüfung von Microsofts offizieller Härtungsanleitung für SharePoint Server.

Außerdem empfiehlt die Behörde, den externen Zugriff auf die SharePoint-Zentraladministration zu blockieren und die Kommunikation zwischen Farm und Datenbank auf die erforderlichen Systeme zu beschränken. Wenn eine Erreichbarkeit von außen notwendig ist, sollten die Server laut CISA hinter einem Layer-7-Reverse-Proxy oder einer vergleichbaren Sicherheitsschicht auf Anwendungsebene stehen.

Die drei aktiv ausgenutzten Lücken hat CISA am 14. April für CVE-2026-32201, am 1. Juli für CVE-2026-45659 und am 14. Juli für CVE-2026-56164 in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. US-Bundesbehörden haben im Rahmen der Binding Operational Directive 26-04 bis zum 17. Juli Zeit, von CVE-2026-56164 betroffene SharePoint-Server abzusichern oder außer Betrieb zu nehmen, falls sich Gegenmaßnahmen nicht umsetzen lassen.

Seit November 2021 hat CISA insgesamt 11 Microsoft-SharePoint-Schwachstellen markiert, die in Angriffen ausgenutzt wurden. Sieben davon kamen nach Angaben der Behörde auch bei Ransomware-Angriffen zum Einsatz.