SecBoard
Zurück zur Übersicht

CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV

The Hacker News·
Originalartikel lesen bei The Hacker News

hat eine kritische, ausgenutzte Zero-Day-Schwachstelle (CVE-2026-58644) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt. Bundesbehörden sind betroffen und müssen die Patches bis zum 19. Juli 2026 anwenden, um sich vor der () zu schützen.

Kurzfassung

CISA hat eine kritische, ausgenutzte Zero-Day-Schwachstelle (CVE-2026-58644) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt. Diese RCE-Schwachstelle wird aktiv ausgenutzt und erfordert sofortige Patches. Alle Organisationen, die SharePoint nutzen, sollten die verfügbaren Sicherheitsupdates umgehend anwenden.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Bundesbehörden (Federal Civilian Executive Branch agencies) sind direkt betroffen und müssen Patches anwenden. Alle Organisationen, die Microsoft SharePoint Server nutzen, sind potenziell betroffen.

Warum relevant

Die Schwachstelle ermöglicht Remote Code Execution (RCE) und wird aktiv ausgenutzt, was ein hohes Risiko für die Integrität und Vertraulichkeit von Daten darstellt. Die Aufnahme in den CISA KEV-Katalog unterstreicht die Dringlichkeit.

Realistisches Worst Case

Ein Angreifer könnte die Schwachstelle ausnutzen, um beliebigen Code auf dem SharePoint-Server auszuführen, was zu einer vollständigen Kompromittierung des Servers und möglicherweise des gesamten Netzwerks führen könnte.

Handlungsempfehlung

Alle Organisationen, die Microsoft SharePoint Server verwenden, sollten die verfügbaren Sicherheitsupdates für CVE-2026-58644 sofort priorisieren und anwenden. Bundesbehörden müssen dies bis zum 19. Juli 2026 tun.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle Microsoft SharePoint Server in Ihrer Umgebung auf die neuesten Sicherheitsupdates gepatcht sind, insbesondere für CVE-2026-58644.
  • Scannen Sie Ihre SharePoint-Infrastruktur auf Anzeichen einer Kompromittierung oder ungewöhnlicher Aktivitäten, die auf eine Ausnutzung der RCE-Schwachstelle hindeuten könnten.
  • Stellen Sie sicher, dass Ihre Intrusion Detection/Prevention Systeme (IDS/IPS) Signaturen für bekannte Exploits dieser Schwachstelle enthalten und aktiv sind.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationHighCISA hat eine kritische, ausgenutzte Zero-Day-Schwachstelle (CVE-2026-58644) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt.
ExecutionT1210 Exploitation for Client ExecutionHighum sich vor der Remote Code Execution (RCE) zu schützen.
Offene Punkte
  • Details zu den spezifischen Versionen von SharePoint Server, die betroffen sind, sind im Artikel nicht angegeben.
  • Details zu den Angreifergruppen oder der Art der aktiven Ausnutzung sind im Artikel nicht angegeben.
  • Die genaue Art der Deserialisierungsfehler, die die RCE ermöglichen, ist im Artikel nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Resource Development detektieren?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)