SecBoard
KritischWochenlageScore: 75/100

Wochenlage KW29: Multiple Zero-Days und MFA-Umgehungen dominieren das Lagebild

19. Juli 2026
Wochenlage KW29: Multiple Zero-Days und MFA-Umgehungen dominieren das Lagebild

Kurzfazit

Die KW29 war geprägt von einer hohen Anzahl kritischer Schwachstellen, darunter mehrere aktiv ausgenutzte Zero-Days in Microsoft SharePoint, SonicWall SMA 1000 und Fortinet FortiSandbox. Microsoft verzeichnete einen Rekord-Patch-Day mit 622 behobenen Lücken. Parallel dazu nehmen ausgeklügelte Phishing-Kampagnen gegen Microsoft 365-Konten zu, die Multi-Faktor-Authentifizierung (MFA) umgehen können. CISOs und SOC-Teams stehen vor der dringenden Aufgabe, Patches zu priorisieren und ihre Erkennungsmechanismen für Phishing-Angriffe zu schärfen.

Überblick der Woche

Die 29. Kalenderwoche war aus Sicht der Cyber-Sicherheit von einer alarmierenden Konzentration kritischer Schwachstellen und aktiver Ausnutzungen geprägt. Mehrere Zero-Day-Exploits in weit verbreiteten Unternehmenslösungen erforderten sofortiges Handeln. Gleichzeitig verdeutlichten neue Phishing-Kits die anhaltende Bedrohung durch Social Engineering, insbesondere im Kontext von Microsoft 365 und der Umgehung von (). Die hohe Anzahl an Patches von Microsoft unterstreicht den Druck auf Verteidiger, schnell und effektiv zu reagieren.

Wichtigste Vorfälle & Signale

Die Woche wurde dominiert von der Entdeckung und aktiven Ausnutzung mehrerer Zero-Day-Schwachstellen:

  • Microsoft SharePoint (CVE-2026-58644): hat diese kritische () Schwachstelle in Microsoft SharePoint Server zu ihrem ()-Katalog hinzugefügt. Dies signalisiert eine aktive und weitreichende Bedrohung, die sofortige Patches erfordert.
  • SonicWall SMA 1000 Zero-Days (CVE-2026-15409, CVE-2026-15410): Zwei Zero-Day-Lücken in SonicWall SMA 1000 Appliances wurden aktiv ausgenutzt. Eine davon (CVE-2026-15409) ermöglicht unauthentifizierten Angreifern die Ausführung beliebiger Befehle, was ein hohes Risiko für den Netzwerkperimeter darstellt.
  • Fortinet FortiSandbox Schwachstellen (CVE-2026-39808, CVE-2026-25089): Auch Fortinet FortiSandbox war von aktiv ausgenutzten Schwachstellen betroffen, die eine Code-Ausführung ermöglichen können und ebenfalls im KEV-Katalog gelistet sind.
  • Microsoft Patch-Day: Microsoft veröffentlichte einen Rekord von 622 Patches, darunter zwei weitere aktiv ausgenutzte Zero-Days in Active Directory und SharePoint Server (CVE-2026-32201, CVE-2026-45659, CVE-2026-56164). Dies unterstreicht die Notwendigkeit eines robusten Patch-Managements.
  • Progress ShareFile : Eine Zero-Day-Schwachstelle in ShareFile Storage Zone Controllern führte zu einem Notfall-Shutdown und erforderte manuelle Maßnahmen von Kunden.
  • MFA-Bypass Phishing-Kits: Neue Phishing-Plattformen wie 'Jalisco', 'OmegaLord' und 'Forg365' zielen auf Microsoft 365-Konten ab und nutzen fortschrittliche Techniken, einschließlich KI-generierter Köder und AiTM-Methoden, um zu umgehen. Dies stellt eine erhebliche Bedrohung für Cloud-Identitäten dar.

Kritische Schwachstellen (KEV / High)

Die KEV-Liste wurde diese Woche um mehrere kritische Einträge erweitert, was die Dringlichkeit der Behebung unterstreicht:

  • CVE-2026-58644 (SharePoint ): Kritische RCE-Schwachstelle, aktiv ausgenutzt.
  • CVE-2026-15409 (SonicWall SMA 1000 /): Unauthentifizierte Befehlsausführung möglich, aktiv ausgenutzt.
  • CVE-2026-15410 (SonicWall SMA 1000 Code Injection): Post-Authentifizierungs-Code-Injection, aktiv ausgenutzt.
  • CVE-2026-39808, CVE-2026-25089 (Fortinet FortiSandbox OS Command Injection): Ermöglicht Code-Ausführung, aktiv ausgenutzt.
  • CVE-2026-32201 (SharePoint Spoofing): Improper Input Validation, aktiv ausgenutzt.
  • CVE-2026-45659 (SharePoint Deserialization): Code-Ausführung möglich, aktiv ausgenutzt.
  • CVE-2026-56164 (SharePoint ): Fehlende Authentifizierung, aktiv ausgenutzt.

Weitere hochkritische, aber noch nicht im gelistete Schwachstellen mit 10.0 umfassen Lücken in JetBrains YouTrack (CVE-2026-62422), Metabase (CVE-2026-50148) und NocoBase (CVE-2026-52887), die ebenfalls umgehende Aufmerksamkeit erfordern.

Betroffene Branchen & Technologien

Die Vorfälle dieser Woche betreffen eine breite Palette von Branchen und Technologien:

  • Branchen: Behörden, Finanzsektor, Energieversorger, Telekommunikation und Healthcare sind aufgrund ihrer Abhängigkeit von den betroffenen Technologien und ihrer Attraktivität für Angreifer besonders gefährdet.
  • Technologien:
    • Kollaboration & Produktivität: Microsoft SharePoint, Microsoft 365 (durch ).
    • Netzwerk-Perimeter: SonicWall SMA 1000 Appliances, Fortinet FortiSandbox.
    • Cloud-Infrastruktur: Progress ShareFile Storage Zone Controller.
    • Identitätsmanagement: Active Directory (durch Microsoft Patches).

Priorisierung für die kommende Woche

Angesichts der Vielzahl kritischer und aktiv ausgenutzter Schwachstellen ist eine strikte Priorisierung unerlässlich:

  1. Dringende Patch-Implementierung: Sofortige Anwendung aller verfügbaren Patches für Microsoft SharePoint Server, SonicWall SMA 1000 und Fortinet FortiSandbox. Priorisieren Sie die im KEV-Katalog gelisteten CVEs.
  2. ShareFile Controller: Überprüfen Sie den Status Ihrer Progress ShareFile Storage Zone Controller und folgen Sie den Anweisungen des Herstellers bezüglich Patches oder Shutdowns.
  3. Microsoft Patch-Day: Planen und implementieren Sie die Microsoft-Patches für Juli 2026, insbesondere für Active Directory und SharePoint, mit höchster Priorität.
  4. Phishing-Abwehr stärken: Überprüfen und verbessern Sie Ihre Erkennungs- und Abwehrmechanismen gegen Phishing-Angriffe, insbesondere solche, die auf Microsoft 365 abzielen und umgehen. Dazu gehören E-Mail-Filter, () und regelmäßige Sensibilisierung der Benutzer.
  5. Monitoring und Threat Hunting: Erhöhen Sie das Monitoring für ungewöhnliche Aktivitäten an Netzwerkperimetern und in Microsoft 365-Umgebungen. Suchen Sie aktiv nach Indikatoren für Kompromittierung (IoCs) im Zusammenhang mit den genannten Zero-Days und Phishing-Kampagnen.

Quellenhinweise

  • [The Hacker News (2026-07-17)] Adds Exploited SharePoint CVE-2026-58644 to
  • [ Current Activity (2026-07-16)] Adds Three to Catalog
  • [The Hacker News (2026-07-15)] Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands
  • [SecurityWeek (2026-07-15)] SonicWall Issues Urgent SMA Patch Warning for Two Exploits
  • [The Hacker News (2026-07-14)] Microsoft Patches Record 622 Flaws, Including Two Zero-Days Under Active Attack
  • [SecurityWeek (2026-07-14)] Microsoft Patches Record 622 Vulnerabilities, Including Two Exploited Zero-Days
  • [BleepingComputer (2026-07-14)] Progress confirms ShareFile flaw behind Storage Zone shutdown
  • [BleepingComputer (2026-07-14)] New kits target Microsoft 365 accounts, evade
  • [SecurityWeek (2026-07-13)] Progress Prompts ShareFile Storage Zone Controller Shutdown Amid Security Concerns
  • [BleepingComputer (2026-07-09)] New Forg365 platform uses AI to target Microsoft 365 accounts

Was Security-Teams jetzt prüfen sollten

  • 1Sofortige Prüfung und Patching von Microsoft SharePoint Server, SonicWall SMA 1000 und Fortinet FortiSandbox auf die genannten KEV-Schwachstellen.
  • 2Überprüfung des Status und der Herstellerempfehlungen für Progress ShareFile Storage Zone Controller.
  • 3Priorisierte Implementierung der Microsoft Juli 2026 Patches, insbesondere für Active Directory und SharePoint.
  • 4Analyse der E-Mail-Sicherheitslösungen und MFA-Implementierungen auf Anfälligkeiten gegenüber AiTM- und Gerätecode-Phishing-Methoden.
  • 5Verstärkung des Monitorings auf ungewöhnliche Zugriffe und Aktivitäten in Microsoft 365-Umgebungen und an Netzwerkperimetern.
  • 6Sensibilisierung der Benutzer für aktuelle Phishing-Taktiken, die MFA umgehen können.

Betroffene Branchen

behoerdenfinanzenenergietelekommunikationhealthcare

Betroffene Technologien

active-directorynetwork-perimetercollaboration-toolsemail-securitycloud-security

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 19. Juli 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Zero-Day#RCE#Phishing#MFA-Bypass#SharePoint#SonicWall#Fortinet#Microsoft 365#KEV#Patch Management