SecBoard
Zurück zur Übersicht

SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation

The Hacker News·
Originalartikel lesen bei The Hacker News

CISA hat die SharePoint RCE-Schwachstelle CVE-2026-45659 aufgrund aktiver Ausnutzung in ihren KEV-Katalog aufgenommen. Betroffen sind Microsoft SharePoint Server, wodurch Angreifer Remotecode ausführen können. Administratoren sollten umgehend Patches einspielen, um sich vor dieser kritischen Lücke zu schützen.

Kurzfassung

CISA hat die SharePoint RCE-Schwachstelle CVE-2026-45659 in ihren KEV-Katalog aufgenommen, da sie aktiv ausgenutzt wird. Diese kritische Lücke ermöglicht Angreifern die Remotecodeausführung auf betroffenen Microsoft SharePoint Servern. Organisationen müssen umgehend Patches einspielen, um sich zu schützen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die Microsoft SharePoint Server verwenden.

Warum relevant

Die aktive Ausnutzung dieser RCE-Schwachstelle bedeutet, dass Angreifer ohne Authentifizierung die Kontrolle über SharePoint-Server übernehmen können, was zu Datenkompromittierung und Systemausfällen führen kann.

Realistisches Worst Case

Ein Angreifer erlangt vollständige Kontrolle über den SharePoint-Server, führt beliebigen Code aus, greift auf sensible Daten zu oder nutzt den Server als Ausgangspunkt für weitere Angriffe im Netzwerk.

Handlungsempfehlung

Umgehend alle verfügbaren Patches für Microsoft SharePoint Server installieren, um CVE-2026-45659 zu beheben.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Patch-Level aller Microsoft SharePoint Server in Ihrer Umgebung auf das Vorhandensein des Patches für CVE-2026-45659.
  • Überprüfen Sie Systemprotokolle (z.B. IIS-Logs, SharePoint ULS-Logs) auf ungewöhnliche Aktivitäten oder Fehlermeldungen, die auf eine Ausnutzung hindeuten könnten.
  • Stellen Sie sicher, dass Ihre Intrusion Detection/Prevention Systeme (IDS/IPS) Signaturen für bekannte Exploits von CVE-2026-45659 enthalten und aktiv sind.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1210 Exploitation of Remote ServicesHighSharePoint RCE-Schwachstelle CVE-2026-45659 ... Angreifer Remotecode ausführen können.
Offene Punkte
  • Spezifische Details zur Art der aktiven Ausnutzung (z.B. verwendete Payloads oder Angriffsvektoren).
  • Die genaue Anzahl der betroffenen Organisationen oder Server.
  • Ob es spezifische Versionen von SharePoint Server gibt, die anfälliger sind als andere (außer der allgemeinen Aussage 'Microsoft SharePoint Server').

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Möglich

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Resource Development detektieren?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)