SecBoard
Zurück zur Übersicht

CISA Adds One Known Exploited Vulnerability to Catalog

CISA Current Activity·
Originalartikel lesen bei CISA Current Activity

CISA hat eine neue, aktiv ausgenutzte Schwachstelle (CVE-2026-45659) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt. Diese Deserialisierungs-Schwachstelle stellt ein erhebliches Risiko dar und betrifft insbesondere Bundesbehörden, die gemäß BOD 26-04 zur sofortigen Behebung verpflichtet sind. Alle Organisationen werden dringend ermutigt, diese und ähnliche Schwachstellen umgehend zu patchen, um Cyberangriffen vorzubeugen.

Kurzfassung

CISA hat die Deserialisierungs-Schwachstelle CVE-2026-45659 in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt, da sie aktiv ausgenutzt wird. Bundesbehörden sind zur sofortigen Behebung verpflichtet. Alle Organisationen werden dringend ermutigt, diese und ähnliche Schwachstellen umgehend zu patchen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die Microsoft SharePoint Server verwenden, insbesondere Bundesbehörden.

Warum relevant

Die Schwachstelle wird aktiv ausgenutzt und stellt ein erhebliches Risiko dar, das bei Nichtbehebung zu unbefugtem Zugriff oder Datenkompromittierung führen kann. Für Bundesbehörden besteht eine behördliche Verpflichtung zur sofortigen Behebung.

Realistisches Worst Case

Unbefugter Fernzugriff auf SharePoint-Server, Datenkompromittierung oder vollständige Übernahme des Servers durch Angreifer, die die Deserialisierungs-Schwachstelle ausnutzen.

Handlungsempfehlung

Umgehende Anwendung des Patches für CVE-2026-45659 auf allen betroffenen Microsoft SharePoint Servern.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle Microsoft SharePoint Server-Instanzen auf die installierte Version und den Patch-Status für CVE-2026-45659.
  • Scannen Sie Ihre extern zugänglichen SharePoint-Server auf Anzeichen einer Ausnutzung oder ungewöhnliche Aktivitäten (z.B. unbekannte Prozesse, ungewöhnliche Netzwerkverbindungen).
  • Stellen Sie sicher, dass Ihre Intrusion Detection/Prevention Systeme (IDS/IPS) Signaturen für bekannte Exploits von Deserialisierungs-Schwachstellen, insbesondere für SharePoint, aktiviert und aktuell sind.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationHighCISA hat eine neue, aktiv ausgenutzte Schwachstelle (CVE-2026-45659) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt.
ExecutionT1213 Exploitation for Client ExecutionLowDiese Deserialisierungs-Schwachstelle stellt ein erhebliches Risiko dar
Offene Punkte
  • Details zu den spezifischen Auswirkungen der Ausnutzung (z.B. Art des Zugriffs, Datenexfiltration) sind im Artikel nicht spezifiziert.
  • Die genaue Art der aktiven Ausnutzung (z.B. welche Angreifergruppen, welche Ziele) ist im Artikel nicht spezifiziert.
  • Die genauen Versionen von Microsoft SharePoint Server, die von CVE-2026-45659 betroffen sind, sind im Artikel nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Möglich

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Resource Development detektieren?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)