CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV
CISA hat eine kritische, ausgenutzte Zero-Day-Schwachstelle (CVE-2026-58644) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt. Bundesbehörden sind betroffen und müssen die Patches bis zum 19. Juli 2026 anwenden, um sich vor der Remote Code Execution (RCE) zu schützen.
CISA hat eine kritische, ausgenutzte Zero-Day-Schwachstelle (CVE-2026-58644) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt. Diese RCE-Schwachstelle wird aktiv ausgenutzt und erfordert sofortige Patches. Alle Organisationen, die SharePoint nutzen, sollten die verfügbaren Sicherheitsupdates umgehend anwenden.
Bundesbehörden (Federal Civilian Executive Branch agencies) sind direkt betroffen und müssen Patches anwenden. Alle Organisationen, die Microsoft SharePoint Server nutzen, sind potenziell betroffen.
Die Schwachstelle ermöglicht Remote Code Execution (RCE) und wird aktiv ausgenutzt, was ein hohes Risiko für die Integrität und Vertraulichkeit von Daten darstellt. Die Aufnahme in den CISA KEV-Katalog unterstreicht die Dringlichkeit.
Ein Angreifer könnte die Schwachstelle ausnutzen, um beliebigen Code auf dem SharePoint-Server auszuführen, was zu einer vollständigen Kompromittierung des Servers und möglicherweise des gesamten Netzwerks führen könnte.
Alle Organisationen, die Microsoft SharePoint Server verwenden, sollten die verfügbaren Sicherheitsupdates für CVE-2026-58644 sofort priorisieren und anwenden. Bundesbehörden müssen dies bis zum 19. Juli 2026 tun.
- ▸Überprüfen Sie, ob alle Microsoft SharePoint Server in Ihrer Umgebung auf die neuesten Sicherheitsupdates gepatcht sind, insbesondere für CVE-2026-58644.
- ▸Scannen Sie Ihre SharePoint-Infrastruktur auf Anzeichen einer Kompromittierung oder ungewöhnlicher Aktivitäten, die auf eine Ausnutzung der RCE-Schwachstelle hindeuten könnten.
- ▸Stellen Sie sicher, dass Ihre Intrusion Detection/Prevention Systeme (IDS/IPS) Signaturen für bekannte Exploits dieser Schwachstelle enthalten und aktiv sind.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | High | CISA hat eine kritische, ausgenutzte Zero-Day-Schwachstelle (CVE-2026-58644) in Microsoft SharePoint Server zu ihrem KEV-Katalog hinzugefügt. |
| Execution | T1210 Exploitation for Client Execution | High | um sich vor der Remote Code Execution (RCE) zu schützen. |
- Details zu den spezifischen Versionen von SharePoint Server, die betroffen sind, sind im Artikel nicht angegeben.
- Details zu den Angreifergruppen oder der Art der aktiven Ausnutzung sind im Artikel nicht angegeben.
- Die genaue Art der Deserialisierungsfehler, die die RCE ermöglichen, ist im Artikel nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir SharePoint extern erreichbar?
- Können wir Resource Development detektieren?
- Können wir Collection detektieren?