SchwachstellenHackerangriffe

Kritische SharePoint-Lücke wird aktiv ausgenutzt – CISA warnt vor Angriffen

Kritische SharePoint-Lücke wird aktiv ausgenutzt – CISA warnt vor Angriffen
Zusammenfassung

Eine kritische Sicherheitslücke in Microsoft SharePoint, die bereits im Januar gepatcht wurde, wird nun aktiv für Cyberangriffe ausgenutzt. Die US-Cybersecurity- und Infrastruktur-Sicherheitsbehörde CISA warnt vor der Schwachstelle CVE-2026-20963, die SharePoint Enterprise Server 2016, SharePoint Server 2019 und SharePoint Server Subscription Edition betrifft. Angreifer können diese Deserialisierungslücke ohne Authentifizierung ausnutzen, um Ferncode-Ausführung auf nicht gepatchten Servern durchzuführen und beliebigen Code einzuschleusen. Obwohl Microsoft die Lücke bereits im Januar-Patch behoben hat, bestätigte das Unternehmen bisher keine aktiven Exploits in der Praxis. CISA hat die Schwachstelle jedoch in ihren Katalog aktiv ausgenutzter Vulnerabilities aufgenommen und ordnete US-Bundesbehörden an, ihre Server bis zum 21. März zu sichern. Für deutsche Unternehmen und Behörden ist diese Warnung ebenfalls hochrelevant, da SharePoint-Systeme in Organisationen weit verbreitet sind. Unternehmen sollten ihre Serversysteme umgehend überprüfen und den Januar-Patch von Microsoft einspielen, um Risiken zu minimieren. CISA betont, dass solche Deserialisierungslücken häufige Angriffsvektoren darstellen und erhebliche Sicherheitsrisiken bergen.

Die Cybersecurity and Infrastructure Security Agency hat am Dienstag das Microsoft-Sicherheitsupdate vom Januar 2026 neu bewertet und warnt nun vor aktiven Angriffsszenarien gegen die Schwachstelle CVE-2026-20963. Dabei handelt es sich um eine kritische Deserialisierungslücke, die es unauthentifizierten Angreifern ermöglicht, beliebigen Code in SharePoint-Umgebungen einzuschleusen und auszuführen.

Microsoft hatte die Lücke als Teil des Patch Tuesday im Januar geschlossen und beschrieb sie als Schwachstelle mit niedriger Angriffskomplexität. Ein Netzwerkattacke könne es einem unauthentifizierten Angreifer ermöglichen, willkürlichen Code einzuschleusen und auf dem SharePoint Server ferngesteuert auszuführen. Bislang hat Microsoft die Lücke jedoch nicht offiziell als «in the wild» exploitiert gekennzeichnet – CISA ist hier schneller und hat bereits Hinweise auf aktive Angriffe.

CISA ordnete den US-Behörden eine Frist bis zum 21. März 2026 an, ihre Systeme zu sichern. Dies betrifft alle nicht-militärischen Behörden der US-amerikanischen Exekutive, darunter das Department of Homeland Security, das Department of Energy, das Department of Justice und das State Department. Trotz dieser Fokussierung auf föderale Agenturen appelliert CISA «dringend» an alle Netzwerk-Verantwortlichen weltweit, ihre Systeme unverzüglich zu patchen.

Besonders bemerkenswert ist, dass Deserialisierungslücken nach Einschätzung von CISA ein häufiges Angriffsvektoren für Cyberkriminelle darstellen und erhebliche Risiken für Unternehmens-Infrastrukturen mit sich bringen. Momentan liegen CISA keine Hinweise vor, dass die Lücke bereits für Ransomware-Angriffe missbraucht wird – jedoch deutet die schnelle Eskalation auf ein hohes Exploitations-Potenzial hin.

Unternehmen sollten die Patchempfehlungen von Microsoft unmittelbar umsetzen. Wer Cloud-Services nutzt, sollte die zugehörigen Mitigations-Richtlinien befolgen. Sollten Patches nicht verfügbar sein, empfiehlt CISA, die Nutzung der betroffenen Produkte einzustellen oder entsprechende Schutzmaßnahmen zu implementieren. Deutsche Organisationen, die SharePoint einsetzen, sollten ihre IT-Teams anweisen, die Updates schnellstmöglich einzuspielen, um Risiken zu minimieren.

Ähnliche Artikel