Im Zentrum der aktuellen Warnung steht CVE-2026-56164. Die von Microsoft im Juli 2026 geschlossene Schwachstelle erlaubt eine Rechteausweitung und kann laut CISA aus der Ferne ohne Authentifizierung ausgenutzt werden. Die Behörde nahm sie am Dienstag in ihren KEV-Katalog auf und verweist für Bundesbehörden auf eine Frist von drei Tagen gemäß den Empfehlungen aus BOD 26-04.
Ebenfalls mit Microsofts jüngster Sicherheitsupdate-Runde behoben wurden CVE-2026-55040 und CVE-2026-58644. Beide SharePoint-Lücken stuft der Hersteller als kritisch ein. Sie können aus der Ferne ausgenutzt werden, um eine Sicherheitsfunktion zu umgehen beziehungsweise beliebigen Code auszuführen. Auch wenn diese beiden Schwachstellen derzeit nicht als aktiv ausgenutzt markiert sind, warnt CISA vor einem Risiko für Organisationen, wenn Patches nicht rechtzeitig eingespielt werden.
Zusätzlich verweist die Behörde auf zwei weitere bereits ausgenutzte SharePoint-Schwachstellen. CVE-2026-32201 ist eine Spoofing-Lücke, die Microsoft im April geschlossen hatte, nachdem sie als Zero-Day in Angriffen missbraucht worden war. Hinzu kommt CVE-2026-45659, eine Schwachstelle zur Codeausführung, die im Mai über ein außerplanmäßiges Sicherheitsupdate beseitigt wurde und Anfang Juli in CISA KEV-Katalog aufgenommen wurde.
CISA beschreibt die möglichen Folgen ungewöhnlich konkret. Betroffen seien alle unterstützten lokalen SharePoint-Server-Versionen, also Subscription Edition, 2019 und 2016. Die Schwachstellen stünden im Zusammenhang mit der Ermöglichung von Remotecodeausführung und Aktivitäten nach einer erfolgreichen Kompromittierung. Dazu zähle der Diebstahl von Internet-Information-Services-Maschinenschlüsseln, der Einsatz von Deserialisierungstechniken zur dauerhaften Verankerung sowie die Verteilung von Schadsoftware.
Neben dem Einspielen der Microsoft-Patches empfiehlt CISA, SharePoint-Server gezielt auf Anzeichen ungewöhnlicher Aktivitäten zu überwachen, da diese auf eine laufende Ausnutzung hindeuten könnten. Organisationen sollten zudem sicherstellen, dass ihre Sicherheitsprodukte alle SharePoint-Webanwendungen abdecken, aktiv nach Einbrüchen suchen, IIS-Maschinenschlüssel austauschen, angepasste Protokollierung aktivieren, SharePoint-Server nicht direkt aus dem Internet erreichbar machen und den Zugriff auf Administrationsoberflächen einschränken.
Die Warnung unterstreicht damit, dass sich die aktuelle Gefährdungslage nicht auf eine einzelne Lücke beschränkt. CISA hebt vielmehr mehrere Schwachstellen hervor, von denen einige bereits als Zero-Day missbraucht wurden und andere wegen ihrer technischen Auswirkungen als besonders dringlich gelten.
