SchwachstellenHackerangriffeCloud-Sicherheit

SharePoint-Lücke CVE-2026-20963 wird aktiv ausgenutzt – CISA warnt Bundesbehörden

SharePoint-Lücke CVE-2026-20963 wird aktiv ausgenutzt – CISA warnt Bundesbehörden
Zusammenfassung

Eine kritische Microsoft-SharePoint-Schwachstelle wird aktiv ausgenutzt. Die als CVE-2026-20963 katalogisierte Sicherheitslücke wurde im Januar 2026 von Microsoft gepatcht, ist aber nun in freier Wildbahn kompromittiert worden. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Anfälligkeit in ihren Katalog bekannter ausgenutzte Schwachstellen aufgenommen und forderte Bundesbehörden auf, die Sicherheitslücke bis zum 21. März zu beheben. Bei der Sicherheitslücke handelt es sich um eine kritische Remote-Code-Execution-Anfälligkeit mit einem CVSS-Wert von 9,8, die durch die Deserialisierung nicht vertrauenswürdiger Daten ermöglicht wird. Sie betrifft SharePoint Server 2016, 2019 und die Subscription Edition. Die Schwachstelle ermöglicht es unauthentifizierten Angreifern, beliebigen Code in den SharePoint-Server einzuschleusen und auszuführen. Für deutsche Unternehmen, Behörden und öffentliche Institutionen stellt dies eine erhebliche Gefahr dar, besonders wenn SharePoint in ihren IT-Infrastrukturen eingesetzt wird. Eine sofortige Überprüfung und Aktualisierung betroffener Systeme ist notwendig, um Kompromittierungen zu verhindern. Die Tatsache, dass die Schwachstelle bereits aktiv ausgenutzt wird, unterstreicht die Dringlichkeit des Handelns.

Die SharePoint-Schwachstelle CVE-2026-20963 wurde am 13. Januar 2026 offengelegt, als Microsoft seine Januar-Sicherheitsupdates veröffentlichte. Microsoft klassifizierte die Lücke als kritisch mit einem CVSS-Wert von 9,8. Das Problem liegt in der unsicheren Deserialisierung von nicht vertrauenswürdigen Daten – ein bekanntes Sicherheitsrisiko, das Angreifern ermöglicht, beliebigen Code einzuschleusen und auszuführen.

Besonders bemerkenswert: Ein unauthentifizierter Angreifer benötigt keinerlei Anmeldedaten, um die Schwachstelle auszunutzen. Er kann sich einfach über das Netzwerk mit dem betroffenen SharePoint Server verbinden und sofort Befehle ausführen. Dies macht CVE-2026-20963 zu einer der gefährlichsten Kategorien von Sicherheitslücken überhaupt.

Die Lücke betrifft folgende Versionen: SharePoint Server 2016, SharePoint Server 2019 und SharePoint Subscription Edition – eine große Anzahl von Installationen weltweit. Eine anonyme Sicherheitsforscherin oder ein Forscher hatte die Schwachstelle verantwortungsvoll an Microsoft gemeldet.

CISA ordnete am 18. März an, dass alle US-Bundesbehörden die Lücke bis zum 21. März schließen müssen. Dies deutet darauf hin, dass die Behörde bereits von Angriffsversuchen weiß. Interessanterweise stuft Microsoft die Exploitierbarkeit auf seiner Website als „weniger wahrscheinlich” ein – eine Bewertung, die angesichts der CISA-Warnung angezweifelt werden könnte.

Deutsche Unternehmen, Behörden und Organisationen sollten dieses Update als Priorität behandeln. SharePoint wird vielerorts als zentrale Dokumenten- und Kollaborationsplattform eingesetzt. Ein erfolgreich ausgenutzte Lücke könnte zu vollständiger Systemübernahme, Datendiebstahl oder Ransomware-Angriffen führen.

Zur historischen Einordnung: CISA führt derzeit neun verschiedene SharePoint-Schwachstellen in seinem KEV-Katalog auf. Drei davon wurden 2025 offengelegt und stehen im Zusammenhang mit den sogenannten ToolShell-Angriffen, die speziell SharePoint als Ziel hatten. Dies zeigt ein erkennbares Muster: SharePoint ist ein häufig anvisiertes Ziel von Cyberkriminellen.

Microsoft hat seine Sicherheitsempfehlungen am 17. März aktualisiert, bestätigte aber bisher keine genauen Details zu den aktiven Angriffsszenarien. SecurityWeek und weitere Sicherheitsmedien haben Microsoft um weitere Informationen gebeten.

Ähnliche Artikel