Wochenlage KW29: Multiple Zero-Days und MFA-Umgehungen dominieren das Lagebild

Kurzfazit
Die KW29 war geprägt von einer hohen Anzahl kritischer Schwachstellen, darunter mehrere aktiv ausgenutzte Zero-Days in Microsoft SharePoint, SonicWall SMA 1000 und Fortinet FortiSandbox. Microsoft verzeichnete einen Rekord-Patch-Day mit 622 behobenen Lücken. Parallel dazu nehmen ausgeklügelte Phishing-Kampagnen gegen Microsoft 365-Konten zu, die Multi-Faktor-Authentifizierung (MFA) umgehen können. CISOs und SOC-Teams stehen vor der dringenden Aufgabe, Patches zu priorisieren und ihre Erkennungsmechanismen für Phishing-Angriffe zu schärfen.
Überblick der Woche
Die 29. Kalenderwoche war aus Sicht der Cyber-Sicherheit von einer alarmierenden Konzentration kritischer Schwachstellen und aktiver Ausnutzungen geprägt. Mehrere Zero-Day-Exploits in weit verbreiteten Unternehmenslösungen erforderten sofortiges Handeln. Gleichzeitig verdeutlichten neue Phishing-Kits die anhaltende Bedrohung durch Social Engineering, insbesondere im Kontext von Microsoft 365 und der Umgehung von Multi-Faktor-Authentifizierung (MFA). Die hohe Anzahl an Patches von Microsoft unterstreicht den Druck auf Verteidiger, schnell und effektiv zu reagieren.
Wichtigste Vorfälle & Signale
Die Woche wurde dominiert von der Entdeckung und aktiven Ausnutzung mehrerer Zero-Day-Schwachstellen:
- Microsoft SharePoint RCE Zero-Day (CVE-2026-58644): CISA hat diese kritische Remote Code Execution (RCE) Schwachstelle in Microsoft SharePoint Server zu ihrem Known Exploited Vulnerabilities (KEV)-Katalog hinzugefügt. Dies signalisiert eine aktive und weitreichende Bedrohung, die sofortige Patches erfordert.
- SonicWall SMA 1000 Zero-Days (CVE-2026-15409, CVE-2026-15410): Zwei Zero-Day-Lücken in SonicWall SMA 1000 Appliances wurden aktiv ausgenutzt. Eine davon (CVE-2026-15409) ermöglicht unauthentifizierten Angreifern die Ausführung beliebiger Befehle, was ein hohes Risiko für den Netzwerkperimeter darstellt.
- Fortinet FortiSandbox Schwachstellen (CVE-2026-39808, CVE-2026-25089): Auch Fortinet FortiSandbox war von aktiv ausgenutzten Schwachstellen betroffen, die eine Code-Ausführung ermöglichen können und ebenfalls im KEV-Katalog gelistet sind.
- Microsoft Patch-Day: Microsoft veröffentlichte einen Rekord von 622 Patches, darunter zwei weitere aktiv ausgenutzte Zero-Days in Active Directory und SharePoint Server (CVE-2026-32201, CVE-2026-45659, CVE-2026-56164). Dies unterstreicht die Notwendigkeit eines robusten Patch-Managements.
- Progress ShareFile Zero-Day: Eine Zero-Day-Schwachstelle in ShareFile Storage Zone Controllern führte zu einem Notfall-Shutdown und erforderte manuelle Maßnahmen von Kunden.
- MFA-Bypass Phishing-Kits: Neue Phishing-Plattformen wie 'Jalisco', 'OmegaLord' und 'Forg365' zielen auf Microsoft 365-Konten ab und nutzen fortschrittliche Techniken, einschließlich KI-generierter Köder und AiTM-Methoden, um Multi-Faktor-Authentifizierung zu umgehen. Dies stellt eine erhebliche Bedrohung für Cloud-Identitäten dar.
Kritische Schwachstellen (KEV / High)
Die CISA KEV-Liste wurde diese Woche um mehrere kritische Einträge erweitert, was die Dringlichkeit der Behebung unterstreicht:
- CVE-2026-58644 (SharePoint RCE): Kritische RCE-Schwachstelle, aktiv ausgenutzt.
- CVE-2026-15409 (SonicWall SMA 1000 SSRF/RCE): Unauthentifizierte Befehlsausführung möglich, aktiv ausgenutzt.
- CVE-2026-15410 (SonicWall SMA 1000 Code Injection): Post-Authentifizierungs-Code-Injection, aktiv ausgenutzt.
- CVE-2026-39808, CVE-2026-25089 (Fortinet FortiSandbox OS Command Injection): Ermöglicht Code-Ausführung, aktiv ausgenutzt.
- CVE-2026-32201 (SharePoint Spoofing): Improper Input Validation, aktiv ausgenutzt.
- CVE-2026-45659 (SharePoint Deserialization): Code-Ausführung möglich, aktiv ausgenutzt.
- CVE-2026-56164 (SharePoint Privilege Escalation): Fehlende Authentifizierung, aktiv ausgenutzt.
Weitere hochkritische, aber noch nicht im KEV gelistete Schwachstellen mit CVSS 10.0 umfassen Lücken in JetBrains YouTrack (CVE-2026-62422), Metabase (CVE-2026-50148) und NocoBase (CVE-2026-52887), die ebenfalls umgehende Aufmerksamkeit erfordern.
Betroffene Branchen & Technologien
Die Vorfälle dieser Woche betreffen eine breite Palette von Branchen und Technologien:
- Branchen: Behörden, Finanzsektor, Energieversorger, Telekommunikation und Healthcare sind aufgrund ihrer Abhängigkeit von den betroffenen Technologien und ihrer Attraktivität für Angreifer besonders gefährdet.
- Technologien:
- Kollaboration & Produktivität: Microsoft SharePoint, Microsoft 365 (durch Phishing).
- Netzwerk-Perimeter: SonicWall SMA 1000 Appliances, Fortinet FortiSandbox.
- Cloud-Infrastruktur: Progress ShareFile Storage Zone Controller.
- Identitätsmanagement: Active Directory (durch Microsoft Patches).
Priorisierung für die kommende Woche
Angesichts der Vielzahl kritischer und aktiv ausgenutzter Schwachstellen ist eine strikte Priorisierung unerlässlich:
- Dringende Patch-Implementierung: Sofortige Anwendung aller verfügbaren Patches für Microsoft SharePoint Server, SonicWall SMA 1000 und Fortinet FortiSandbox. Priorisieren Sie die im CISA KEV-Katalog gelisteten CVEs.
- ShareFile Controller: Überprüfen Sie den Status Ihrer Progress ShareFile Storage Zone Controller und folgen Sie den Anweisungen des Herstellers bezüglich Patches oder Shutdowns.
- Microsoft Patch-Day: Planen und implementieren Sie die Microsoft-Patches für Juli 2026, insbesondere für Active Directory und SharePoint, mit höchster Priorität.
- Phishing-Abwehr stärken: Überprüfen und verbessern Sie Ihre Erkennungs- und Abwehrmechanismen gegen Phishing-Angriffe, insbesondere solche, die auf Microsoft 365 abzielen und MFA umgehen. Dazu gehören E-Mail-Filter, Endpoint Detection and Response (EDR) und regelmäßige Sensibilisierung der Benutzer.
- Monitoring und Threat Hunting: Erhöhen Sie das Monitoring für ungewöhnliche Aktivitäten an Netzwerkperimetern und in Microsoft 365-Umgebungen. Suchen Sie aktiv nach Indikatoren für Kompromittierung (IoCs) im Zusammenhang mit den genannten Zero-Days und Phishing-Kampagnen.
Quellenhinweise
- [The Hacker News (2026-07-17)] CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV
- [CISA Current Activity (2026-07-16)] CISA Adds Three Known Exploited Vulnerabilities to Catalog
- [The Hacker News (2026-07-15)] Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands
- [SecurityWeek (2026-07-15)] SonicWall Issues Urgent SMA Patch Warning for Two Zero-Day Exploits
- [The Hacker News (2026-07-14)] Microsoft Patches Record 622 Flaws, Including Two Zero-Days Under Active Attack
- [SecurityWeek (2026-07-14)] Microsoft Patches Record 622 Vulnerabilities, Including Two Exploited Zero-Days
- [BleepingComputer (2026-07-14)] Progress confirms ShareFile zero-day flaw behind Storage Zone shutdown
- [BleepingComputer (2026-07-14)] New phishing kits target Microsoft 365 accounts, evade MFA
- [SecurityWeek (2026-07-13)] Progress Prompts ShareFile Storage Zone Controller Shutdown Amid Security Concerns
- [BleepingComputer (2026-07-09)] New Forg365 phishing platform uses AI to target Microsoft 365 accounts
Was Security-Teams jetzt prüfen sollten
- 1Sofortige Prüfung und Patching von Microsoft SharePoint Server, SonicWall SMA 1000 und Fortinet FortiSandbox auf die genannten KEV-Schwachstellen.
- 2Überprüfung des Status und der Herstellerempfehlungen für Progress ShareFile Storage Zone Controller.
- 3Priorisierte Implementierung der Microsoft Juli 2026 Patches, insbesondere für Active Directory und SharePoint.
- 4Analyse der E-Mail-Sicherheitslösungen und MFA-Implementierungen auf Anfälligkeiten gegenüber AiTM- und Gerätecode-Phishing-Methoden.
- 5Verstärkung des Monitorings auf ungewöhnliche Zugriffe und Aktivitäten in Microsoft 365-Umgebungen und an Netzwerkperimetern.
- 6Sensibilisierung der Benutzer für aktuelle Phishing-Taktiken, die MFA umgehen können.
Betroffene Branchen
Betroffene Technologien
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 19. Juli 2026