SEKurity GmbH Logo
CVE-Forschung

InSEKurity of the Week (CW27/2026): Microsoft SharePoint Server Deserialization RCE (CVE-2026-45659)

Eine Deserialisierungsluecke in Microsoft SharePoint Server erlaubt einem authentifizierten Benutzer mit niedrigen Rechten das Ausfuehren von Code auf dem Server -- jetzt im CISA-KEV-Katalog unter bestaetigter aktiver Ausnutzung

SEKurity Team

Offensive Security Experten

17 Min. Lesezeit
Teilen:

Diese Woche in unserer InSEKurity of the Week-Reihe: eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten in Microsoft SharePoint Server, die es einem authentifizierten Angreifer mit nicht mehr als Site-Member-Berechtigungen — der Standard-Mitwirkendenrolle, die gewöhnlichen Kollaborateuren zugeteilt wird — erlaubt, beliebigen Code über das Netzwerk auf dem SharePoint-Server auszuführen. Microsoft hat CVE-2026-45659 in seinen Mai-2026-Sicherheitsupdates still gepatcht und zunächst als „Exploitation Less Likely” eingestuft. Diese Einschätzung überlebte den Kontakt mit der Realität nicht: Anfang Juli hat CISA CVE-2026-45659 in seinen Known-Exploited-Vulnerabilities-(KEV)-Katalog aufgenommen — mit einer dreitägigen Behebungsfrist für Bundesbehörden und unter Berufung auf Hinweise auf aktive Ausnutzung. SharePoint ist eine der am weitesten verbreiteten Kollaborationsplattformen im Unternehmensumfeld und steht in derselben schmerzhaften Linie wie die „ToolShell”-Kampagnen von 2025, mit denen Ransomware-Gruppen On-Prem-Farmen plünderten. Wenn Sie On-Premises-SharePoint betreiben, gehört diese Schwachstelle ganz oben auf Ihre Liste.

🚨 Zusammenfassung

  • CVE-ID: CVE-2026-45659
  • CVSS-3.1-Score: 8.8 (High)
  • CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • CWE: CWE-502 (Deserialization of Untrusted Data)
  • Betroffene Software: Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016 (On-Premises)
  • Angriffsvektor: Netzwerk (remote) — präparierte Anfrage an einen SharePoint-Server-Codepfad, der vom Angreifer kontrollierte Daten deserialisiert
  • Authentifizierung erforderlich: Ja — jeder authentifizierte Benutzer mit mindestens Site-Member-Berechtigungen (PR:L)
  • Benutzerinteraktion: Keine
  • Auswirkung: Remote Code Execution im Kontext der SharePoint-Webanwendung — Vertraulichkeit, Integrität und Verfügbarkeit vollständig kompromittiert
  • Patch-Status: ✅ Verfügbar (Microsoft, Mai-2026-Sicherheitsupdates)
  • Veröffentlicht: 22. Mai 2026 (NVD / MSRC)
  • Ausnutzungsstatus: Aktive Ausnutzung von CISA Anfang Juli 2026 bestätigt (Microsofts ursprüngliche Einschätzung war „Exploitation Less Likely”)
  • CISA KEV: ✅ Gelistet — aufgenommen am 1. Juli 2026, föderale Behebungsfrist 4. Juli 2026 (BOD 26-04)

🖥️ Was ist Microsoft SharePoint Server?

Microsoft SharePoint Server ist Microsofts On-Premises-Plattform für Dokumentenmanagement, Intranet-Portale, Team-Kollaboration und Geschäftsprozessautomatisierung. Organisationen nutzen sie, um interne Seiten zu hosten, Dokumente zu teilen und gemeinsam zu bearbeiten, Workflows auszuführen und Line-of-Business-Daten über Webparts und Custom-Anwendungen bereitzustellen. Sie basiert auf ASP.NET und Internet Information Services (IIS) und speichert Inhalte und Konfiguration in SQL Server. SharePoint ist in Unternehmens- und Behördenumgebungen weiterhin tief verankert — oft mit den sensibelsten internen Dokumenten einer Organisation — und viele dieser Farmen werden nach wie vor On-Premises betrieben statt zu SharePoint Online migriert.

Da SharePoint eine große, erweiterbare ASP.NET-Anwendung ist, die komplexe benutzergelieferte Objekte annimmt und verarbeitet (Listendaten, Webpart-Konfiguration, Workflow-Status, View-Definitionen), bietet sie eine breite Angriffsfläche für Object-Injection- und Deserialisierungs-Fehler. Das .NET-Framework lieferte historisch Serialisierer — BinaryFormatter, LosFormatter/ObjectStateFormatter (ViewState), SoapFormatter und unsicher verwendeten DataContractSerializer — die beliebige Objektgraphen aus einem Byte-Stream rekonstruieren. Wenn ein solcher Serialisierer auf nicht vertrauenswürdige Eingaben angesetzt wird, kann eine gut gewählte „Gadget-Chain” die Deserialisierung in Command Execution verwandeln. SharePoint stand wiederholt auf der falschen Seite dieser Fehlerklasse, und CVE-2026-45659 ist das jüngste Beispiel.

Typische Anwendungsfälle

  • Intranet- und Kollaborationsportale: interne Seiten, Team-Spaces und Dokumentbibliotheken für die tägliche Zusammenarbeit.
  • Dokumentenmanagement: versionierte Ablage, Co-Authoring und Records Management für sensible Unternehmensdokumente.
  • Geschäftsprozessautomatisierung: Workflows, Formulare und Genehmigungsprozesse auf Basis von SharePoint-Listen und -Bibliotheken.
  • Line-of-Business-Anwendungen: Custom-Webparts und App-Seiten, die Unternehmensdaten für Mitarbeiter bereitstellen.
  • Extranet-/Partnerzugriff: extern erreichbare Seiten, die mit Lieferanten, Auftragnehmern und Partnern geteilt werden.

Da eine reale SharePoint-Farm routinemäßig Hunderte oder Tausende authentifizierte Benutzer hat — Mitarbeiter, Auftragnehmer und mitunter externe Kollaborateure — ist die Voraussetzung „authentifiziert, Site-Member” weit niedriger, als sie klingt. Jedes dieser Konten oder jede Zugangsdaten, die ein Angreifer phisht oder wiederverwendet, genügt, um den verwundbaren Codepfad zu erreichen.

🔍 Technische Analyse

Beschreibung der Schwachstelle

CVE-2026-45659 ist eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) in Microsoft SharePoint Server. Laut Microsoft und NVD kann ein authentifizierter Angreifer präparierte Eingaben an einen betroffenen SharePoint-Codepfad senden, der nicht vertrauenswürdige Daten deserialisiert, wodurch der Server vom Angreifer kontrollierte Objekte rekonstruiert und letztlich Code über das Netzwerk ausführt — im Kontext der SharePoint-Webanwendung.

Die entscheidenden Eigenschaften sind im CVSS-Vektor AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H erfasst:

  • Über Netzwerk erreichbar (AV:N) und keine Benutzerinteraktion (UI:N): Der Angreifer agiert direkt gegen den Server; kein Opfer muss etwas anklicken.
  • Geringe Angriffskomplexität (AC:L): Microsofts eigene Advisory-Formulierung stellt fest, dass ein Angreifer „does not require significant prior knowledge of the system and can achieve repeatable success” gegen die verwundbare Komponente — d.h. ein funktionierendes Payload ist zuverlässig, kein Zufallstreffer.
  • Geringe erforderliche Rechte (PR:L): Es sind nur Site-Member-Berechtigungen nötig. Das ist die Standard-Mitwirkendenrolle, kein Administrator, die Hürde lautet also „irgendein normales Benutzerkonto auf der Farm”.

Microsoft stufte dies zunächst als „Exploitation Less Likely” ein, und die CVE wurde Berichten zufolge sogar versehentlich aus der ersten Fassung der Mai-2026-Update-Notizen ausgelassen, bevor sie dokumentiert wurde. Die KEV-Aufnahme Anfang Juli hat dieses Risikobild vollständig gedreht.

Ursachenanalyse (Root Cause)

  1. Unsichere Deserialisierung nicht vertrauenswürdiger Daten (CWE-502): Ein betroffener SharePoint-Codepfad übergibt vom Angreifer beeinflusste Eingaben an einen .NET-Deserialisierer, der beliebige Objekttypen rekonstruiert statt eines engen, erwarteten Schemas.
  2. Object-Injection in eine Gadget-Chain: Da der Deserialisierer vom Angreifer gewählte Typen instanziiert und deren Callbacks aufruft (Konstruktoren, OnDeserialization, Property-Setter, TypeConverter), kann ein präparierter Objektgraph die Laufzeit in Richtung Command- oder Code-Execution treiben — das klassische .NET-„Gadget-Chain”-Muster.
  3. Ausführung in einem privilegierten Web-Kontext: Der SharePoint-Worker-Prozess (w3wp.exe) läuft unter der Application-Pool-Identität mit breitem Zugriff auf Content-Datenbanken und den Server; Code-Execution dort bedeutet die vollständige Kompromittierung der SharePoint-Anwendung und ihrer Daten.
  4. Niedrige Autorisierungsschranke: Die verwundbare Operation ist für jedes authentifizierte Prinzipal mit Site-Member-Rechten erreichbar, sodass die Deserialisierungssenke praktisch der gesamten Benutzerpopulation einer Farm ausgesetzt ist.
  5. Gemeinsame Komponente über alle unterstützten On-Prem-Builds: Derselbe Server-Code wird in Subscription Edition, 2019 und 2016 ausgeliefert, sodass jede unterstützte On-Premises-Version bis zum Patchen betroffen ist.

Der genaue verwundbare Endpunkt und die exakte Gadget-Chain für CVE-2026-45659 sind zum Zeitpunkt des Schreibens nicht öffentlich dokumentiert, und verantwortungsvolle öffentliche Analysen verzichten darauf, ein konkretes Payload zu benennen. Was feststeht, sind die Schwachstellenklasse (CWE-502), die Rechte-Voraussetzung (Site-Member) und die Auswirkung (RCE) — mehr als genug, um das Patchen zu priorisieren.

Angriffsvektor

Auf konzeptioneller Ebene folgt die Ausnutzung einer SharePoint-Deserialisierungs-RCE diesem Muster. Der folgende Ausschnitt ist rein illustrativ — er enthält keinen funktionierenden CVE-2026-45659-Exploit und löst den Fehler nicht aus; er zeigt die Form des Angriffs, damit Verteidiger verstehen, wonach sie suchen müssen.

# Schritt 1: Ein beliebiges authentifiziertes SharePoint-Konto mit
# Site-Member-Rechten beschaffen. In echten Angriffen stammt dies aus
# Phishing, Passwort-Wiederverwendung, einem vorherigen Foothold oder
# einem uebermaessig freigegebenen externen/Gast-Konto.
#   -> Die Voraussetzung ist "ein normaler Benutzer", kein "Administrator".

# Schritt 2: Am SharePoint-Web-Frontend authentifizieren und eine Session
# etablieren (formularbasiert, NTLM oder Kerberos je nach Farm-Konfig).
curl -s -c cookies.txt \
  --ntlm -u 'CONTOSO\\jdoe:Password123!' \
  'https://sharepoint.example.com/_layouts/15/start.aspx'

# Schritt 3: Eine praeparierte Anfrage an den betroffenen Codepfad senden,
# sodass SharePoint einen vom Angreifer kontrollierten Objektgraphen
# deserialisiert. Ein echter Exploit traegt ein .NET-Gadget-Chain-Payload
# (wie es ysoserial.net erzeugt) in dem Feld, das den verwundbaren
# Deserialisierer erreicht.
#   -> Nur illustrativer Platzhalter; KEIN funktionierendes Payload.
curl -s -b cookies.txt \
  -X POST 'https://sharepoint.example.com/<betroffener-endpunkt>' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  --data '__CRAFTED_SERIALIZED_OBJECT=<gadget-chain-hier>'

# Schritt 4: Bei Erfolg fuehrt der SharePoint-Worker-Prozess (w3wp.exe)
# den Code des Angreifers unter der Application-Pool-Identitaet aus.
# Angreifer legen typischerweise eine Web-Shell in den LAYOUTS/ISAPI-
# Web-Root oder starten einen Kommandointerpreter fuer Hands-on-Keyboard-
# Aktivitaet.

Eine vereinfachte Ansicht des Angriffs auf Protokollebene:

Angreifer (authentifizierter Site-Member)    Opfer (On-Prem SharePoint Server / IIS)
   |                                                        |
   |  am Web-Frontend authentifizieren (NTLM/Kerberos/Form) |
   |------------------------------------------------------->|  gueltige Low-Priv-Session
   |                                                        |
   |  praeparierte Anfrage an betroffenen Codepfad,         |
   |  traegt einen serialisierten .NET-Objektgraphen        |
   |------------------------------------------------------->|  SharePoint deserialisiert
   |                                                        |  nicht vertrauensw. Daten
   |                                                        |  (CWE-502)
   |                                                        |  -> Gadget-Chain feuert
   |                                                        |  -> Code laeuft in w3wp.exe
   |                                                        |
   |<-- Web-Shell / Command-Output / C2-Beacon ------------<|  RCE als App-Pool-Identitaet
   v                                                        v

Ausnutzung in freier Wildbahn

  • Mai 2026 — Microsoft liefert den Fix in seinen Mai-2026-Sicherheitsupdates aus und stuft den Fehler als „Exploitation Less Likely” ein. Berichte weisen darauf hin, dass die CVE zunächst aus der ersten Fassung des Update-Guides ausgelassen wurde, bevor sie dokumentiert wurde.
  • Ende Juni 2026 — Sicherheitsforscher und Presse verfolgen CVE-2026-45659 neben der breiteren Welle von SharePoint-Deserialisierungsproblemen und warnen, dass authentifizierte RCE-Fehler in On-Prem-SharePoint angesichts des ToolShell-Präzedenzfalls von 2025 bevorzugte Ziele sind.
  • 1. Juli 2026 (CW27)CISA nimmt CVE-2026-45659 in den Known-Exploited-Vulnerabilities-Katalog auf, unter Berufung auf Hinweise auf aktive Ausnutzung, und setzt eine föderale Behebungsfrist auf den 4. Juli 2026 gemäß BOD 26-04.
  • Anfang Juli 2026 — Mehrere Anbieter (The Hacker News, SecurityWeek, Help Net Security) verstärken die KEV-Aufnahme. CISA veröffentlichte keine Angreifer-Attribution und keine IoCs; die Gruppe Storm-2603, bekannt für die Waffennutzung von SharePoint-Schwachstellen für Ransomware seit 2025, ist die Art von Akteur, die dieser Zugriff ermöglicht — auch wenn keine öffentliche Quelle sie direkt mit dieser konkreten CVE verbindet.

Auswirkungen nach der Ausnutzung

  1. Code-Execution auf dem SharePoint-Server: Der Angreifer führt Befehle als Application-Pool-Identität innerhalb von w3wp.exe aus und erlangt praktische Kontrolle über die Web-Schicht.
  2. Web-Shell-Persistenz: Das Ablegen einer .aspx-Web-Shell in den SharePoint-Web-Root (LAYOUTS/ISAPI) ist die klassische Folgeaktion und verschafft dauerhaften, von Authentifizierung unabhängigen Zugriff — genau das ToolShell-Playbook.
  3. Content-Datenbank- und Datendiebstahl: Die SharePoint-Identität kann Content-Datenbanken lesen und verändern und jedes Dokument, jede Liste und jede Seite exfiltrieren, die die Farm hostet.
  4. Diebstahl von Machine-Keys / Geheimnissen: Die Extraktion von ASP.NET-Machine-Keys und Dienstkonto-Geheimnissen ermöglicht das Fälschen von Authentifizierungsmaterial und tieferes Pivoting — und bedeutet, dass Patchen allein einen Angreifer nicht vertreibt, der bereits Ihre Keys besitzt.
  5. Laterale Bewegung ins Domänennetz: SharePoint-Farmen laufen unter Dienstkonten mit Rechten über SQL Server und oft Active Directory, was den Server zu einem starken Ausgangspunkt für eine Domänenkompromittierung macht.
  6. Ransomware-Staging: Ein kompromittierter, geschäftskritischer Kollaborationsserver ist ein hochwertiger Staging-Punkt für Verschlüsselung und Erpressung.

⚠️ Auswirkungsbewertung

Unmittelbare Auswirkung

  • Authentifizierte RCE, aber eine sehr niedrige Hürde: „Site-Member” ist eine Rolle, die die meisten Mitarbeiter und viele externe Kollaborateure bereits innehaben; behandeln Sie sie als breit erreichbar, nicht als sinnvolle Barriere.
  • Bestätigte aktive Ausnutzung: Die KEV-Aufnahme durch CISA bedeutet, dass dies genau jetzt gegen reale Ziele eingesetzt wird — kein theoretisches Risiko.
  • Hochwertiges Ziel: SharePoint speichert die internen Dokumente einer Organisation und bildet oft eine Brücke zu SQL Server und Active Directory.
  • On-Prem-Farmen sind exponiert: SharePoint Online ist nicht betroffen, aber die große installierte Basis von On-Prem-Farmen (Subscription Edition / 2019 / 2016) ist es.
  • ToolShell-Muskelgedächtnis: Angreifer verfügen bereits über Werkzeuge und Tradecraft zur Kompromittierung von On-Prem-SharePoint aus den Kampagnen von 2025.

Betroffene Versionen

PlattformVerwundbarBehobener BuildKB
SharePoint Server Subscription EditionAlle Builds vor Mai 202616.0.19725.20280KB5002863
SharePoint Server 2019Alle Builds vor Mai 202616.0.10417.20128KB5002870
SharePoint Enterprise Server 2016Alle Builds vor Mai 202616.0.5552.1002KB5002868
SharePoint Online (Microsoft 365)Nicht betroffen

Gleichen Sie die maßgeblichen Build- und KB-Nummern für Ihr exaktes Produkt stets mit MSRC CVE-2026-45659 ab, bevor Sie ausrollen. SharePoint-Updates erfordern häufig sowohl das sprachunabhängige als auch das sprachabhängige Paket sowie den nachgelagerten PSConfig-/Produktkonfigurationsschritt, um vollständig wirksam zu werden.

Betroffene Umgebungen

  • On-Premises-SharePoint-Farmen: jede Organisation, die Subscription Edition, 2019 oder 2016 betreibt und das Mai-2026-(oder spätere) Sicherheitsupdate nicht angewendet hat.
  • Extern erreichbares SharePoint: Extranets und Partnerportale, die dem Internet ausgesetzt sind, haben ein erhöhtes Risiko, weil die „authentifiziert”-Voraussetzung von jedem bereitgestellten externen Konto erfüllt werden kann.
  • Große Benutzerpopulationen: Farmen mit Tausenden Mitwirkenden, Gästen oder föderierten Identitäten erweitern drastisch, wer den verwundbaren Pfad erreichen kann.
  • Behörden- und Unternehmens-Intranets: die Sektoren, in denen On-Prem-SharePoint am stärksten verankert ist und wo die Daten am sensibelsten sind.
  • Managed / gehostetes SharePoint: gemeinsam genutzte Infrastruktur vervielfacht den Blast-Radius über Mandanten hinweg.

Angreiferprofile

  • Ransomware-Betreiber: On-Prem-SharePoint war über 2025-2026 ein direkter Weg zu Datendiebstahl und Verschlüsselung (z.B. Storm-2603-artige Aktivität).
  • Initial-Access-Broker: „Authentifiziert-zu-RCE” auf einem weit verbreiteten Unternehmensserver ist genau die Art von Zugriff, die auf kriminellen Marktplätzen verkauft wird.
  • APT-/Spionagegruppen: SharePoints Dokumentenschatz ist ein hochwertiges Nachrichtenziel für heimliche, langlebige Akteure.
  • Böswillige Insider und Benutzer mit niedrigen Rechten: Da nur Site-Member-Rechte nötig sind, genügt ein gewöhnliches Mitarbeiter- oder Auftragnehmerkonto.
  • Opportunistische Akteure: Sobald Exploit-Werkzeuge zirkulieren, werden internet-exponierte Farmen massenhaft durchsucht.

🛡️ Gegenmaßnahmen

Sofortmaßnahmen (Priorität 1) ⚡

  1. Das Mai-2026-(oder spätere) SharePoint-Sicherheitsupdate auf jede On-Prem-Farm anwenden, dann den Produktkonfigurationsschritt ausführen:

    # In der SharePoint Management Shell als Farm-Administrator ausfuehren.
    # 1) Sicherheitsupdate-Paket(e) auf jedem Server der Farm installieren
    #    (WFE und App-Server), dann PSConfig zur Finalisierung ausfuehren.
    # 2) PSConfig wendet Schema-/Konfig-Aenderungen an, sodass der Patch
    #    farmweit vollstaendig wirksam ist.
    Get-SPProduct -Local   # installierte Produkte / Patch-Level inventarisieren
    
    # Nach Installation der KB auf jedem Server abschliessen mit:
    PSConfig.exe -cmd upgrade -inplace b2b -wait -cmd applicationcontent -install -cmd installfeatures
  2. Bestätigen, dass der laufende Build die behobene Version erreicht oder übertrifft für Ihre Edition:

    # Farm-Build-Nummer ausgeben und mit den behobenen Builds vergleichen:
    #   Subscription Edition >= 16.0.19725.20280 (KB5002863)
    #   SharePoint 2019       >= 16.0.10417.20128 (KB5002870)
    #   SharePoint 2016       >= 16.0.5552.1002  (KB5002868)
    (Get-SPFarm).BuildVersion
    
    # Die Kern-Assembly-Version auf jedem Server gegenpruefen:
    Get-Item 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\ISAPI\Microsoft.SharePoint.dll' |
        Select-Object Name, @{n='FileVersion';e={$_.VersionInfo.FileVersion}}
  3. Einschränken und prüfen, wer Site-Member-(und höhere) Rechte hat, insbesondere externe/Gast-Konten:

    # Mitglieder der Standard-Gruppe "Members" ueber Site-Collections
    # aufzaehlen und veraltete oder ueberprivilegierte externe Konten
    # entfernen.
    Get-SPSite -Limit All | ForEach-Object {
        $web = $_.RootWeb
        $grp = $web.AssociatedMemberGroup
        [PSCustomObject]@{ Site = $_.Url; Group = $grp.Name; Users = ($grp.Users | Select-Object -Expand UserLogin) -join '; ' }
        $web.Dispose()
    }
  4. Die Internet-Exposition von On-Prem-SharePoint reduzieren, bis gepatcht ist — extern erreichbare Farmen hinter ein VPN, einen Reverse Proxy mit Vor-Authentifizierung oder IP-Allowlisting stellen, wo machbar.

  5. ASP.NET-Machine-Keys und Dienstkonto-Geheimnisse rotieren, falls eine Kompromittierung vermutet wird. Wie bei ToolShell vertreibt Patchen keinen Angreifer, der Ihre Keys bereits extrahiert hat:

    # Die Machine-Keys der Farm nach dem Patchen rotieren, falls eine
    # vorherige Kompromittierung nicht ausgeschlossen werden kann, dann
    # IIS farmweit neu starten.
    Update-SPMachineKey -Identity 'https://sharepoint.example.com'
    iisreset /noforce

Erkennungsmaßnahmen 🔍

CISA veröffentlichte keine CVE-spezifischen IoCs. Suchen Sie nach den Verhaltenssignaturen einer Kompromittierung der Web-Schicht — Web-Shell-Ablagen und der SharePoint-Worker-Prozess, der Kommandointerpreter startet.

# 1) Nach neu erstellten / geaenderten .aspx/.ashx-Web-Shells in den
#    SharePoint-Web-Roots suchen (ein klassisches Post-Exploitation-
#    Artefakt).
$paths = @(
  'C:\inetpub\wwwroot\wss\VirtualDirectories',
  'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS',
  'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\ISAPI'
)
Get-ChildItem $paths -Recurse -Include *.aspx,*.ashx,*.asmx -ErrorAction SilentlyContinue |
    Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-30) } |
    Select-Object FullName, LastWriteTime
# 2) IIS-Logs auf verdaechtige authentifizierte POSTs an _layouts /
#    ISAPI-Endpunkte im relevanten Zeitraum pruefen.
Get-ChildItem 'C:\inetpub\logs\LogFiles' -Recurse -Filter *.log |
    Select-String -Pattern 'POST .*(_layouts|_vti_bin|ISAPI).*aspx' |
    Select-Object -Last 200
// 3) Microsoft Defender XDR / Sentinel: der SharePoint-Worker-Prozess
//    (w3wp.exe) oder OWSTIMER, der eine Shell startet, ist ein starkes
//    RCE-Signal.
DeviceProcessEvents
| where Timestamp > ago(30d)
| where InitiatingProcessFileName in~ ("w3wp.exe", "owstimer.exe")
| where FileName in~ ("cmd.exe", "powershell.exe", "pwsh.exe", "csc.exe")
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine

Zusätzliche Suche:

  • Auf anomale ausgehende Verbindungen von SharePoint-Servern achten (C2-Beaconing, Tool-Download).
  • Auf neue geplante Tasks, Dienste oder lokale Konten alarmieren, die auf SharePoint-Hosts erstellt werden.
  • PowerShell Script Block Logging und ASP.NET/IIS Failed Request Tracing auf SharePoint-Servern aktivieren, um deserialisierungsausgelöste Fehler und Post-Exploitation-Scripting zu erfassen.
  • IDS/IPS-Signaturen der Anbieter für CVE-2026-45659 ausrollen, sobald verfügbar.

Langfristige Sicherheitsverbesserungen

  1. Patch-SLAs für internet-exponierte App-Server: SharePoint-Frontends verdienen eine 24-72-h-SLA für kritische CVEs, nicht die standardmäßige monatliche Kadenz.
  2. Least Privilege auf Kollaborationsplattformen: Site-Member- und externen/Gast-Zugriff routinemäßig zurückschneiden; „authentifiziert” als große, feindliche Population behandeln.
  3. Externes SharePoint isolieren und vor-authentifizieren: eine On-Prem-Farm niemals roh dem Internet aussetzen; mit Vor-Authentifizierung und Segmentierung davorschalten.
  4. Die Identitätsgrenze härten: SharePoint-Dienstkonten mit Least Privilege in SQL Server und AD betreiben, damit eine Web-Schicht-Kompromittierung keine Domänenkompromittierung wird.
  5. Assume-Breach für On-Prem-SharePoint: angesichts des ToolShell-Präzedenzfalls Machine-Key-Rotation, Web-Shell-Suche und Content-Datenbank-Integritätsprüfungen als stehendes Playbook einüben.
  6. Das Migrationsgespräch planen: für viele Organisationen ist der Umzug von unverwaltetem On-Prem-SharePoint der dauerhafte Weg, diese wiederkehrende Angriffsfläche zu verkleinern.

🎯 Warum ist das kritisch?

  1. Bestätigte aktive Ausnutzung: Die KEV-Aufnahme durch CISA bedeutet, dass CVE-2026-45659 gegen reale Ziele eingesetzt wird, kein hypothetisches Risiko.
  2. Eine sehr niedrige Rechte-Hürde: Es sind nur Site-Member-Rechte nötig — eine Rolle, die die meisten Mitarbeiter und viele externe Gäste bereits innehaben.
  3. RCE auf einem Kronjuwelen-Server: SharePoint hält die internen Dokumente einer Organisation und bildet eine Brücke zu SQL Server und Active Directory.
  4. Riesige On-Prem-Installationsbasis: Subscription-Edition-, 2019- und 2016-Farmen sind in Unternehmen und Behörden allgegenwärtig.
  5. ToolShell-Linie: Angreifer verfügen bereits über bewährtes Tradecraft und Werkzeuge zur Kompromittierung von On-Prem-SharePoint, sodass die Waffennutzung schnell erfolgt.
  6. Patchen allein reicht nach einer Kompromittierung nicht: Wie bei den Kampagnen 2025 überleben gestohlene Machine-Keys das Patchen und erfordern Key-Rotation und Eviction.
  7. Microsoft hat es unterschätzt: Eine „Exploitation Less Likely”-Einstufung, die zu einer KEV-Aufnahme wurde, ist eine Mahnung, nach realen Signalen zu priorisieren, nicht nach Wahrscheinlichkeits-Labels des Herstellers.

🚀 Zeitlinie und Offenlegung

  • 2026-05-22 — NVD veröffentlicht CVE-2026-45659; Microsoft dokumentiert die Deserialisierungs-RCE (zunächst als versehentlich aus der ersten Fassung der Mai-2026-Update-Notizen ausgelassen gemeldet) und stuft sie als „Exploitation Less Likely” ein.
  • Mai 2026 — Microsoft liefert behobene Builds für SharePoint Subscription Edition (16.0.19725.20280), 2019 (16.0.10417.20128) und 2016 (16.0.5552.1002) aus.
  • Ende Juni 2026 — Sicherheitspresse und Forscher verfolgen den Fehler inmitten anhaltender Sorge über authentifizierte SharePoint-Deserialisierungs-RCEs nach der ToolShell-Welle von 2025.
  • 2026-07-01 (CW27)CISA nimmt CVE-2026-45659 in den Known-Exploited-Vulnerabilities-Katalog auf unter Berufung auf Hinweise auf aktive Ausnutzung, mit einer föderalen Behebungsfrist am 4. Juli 2026 gemäß BOD 26-04.
  • Anfang Juli 2026 — Anbieter verstärken die KEV-Aufnahme; CISA veröffentlicht keine Angreifer-Attribution und keine IoCs.

🔗 Ressourcen und Referenzen

💼 SEKurity Unterstützt Sie

CVE-2026-45659 ist eine Lehrbuch-Erinnerung daran, dass „authentifiziert” keine Sicherheitsgrenze ist, wenn die erforderliche Berechtigung eine Rolle ist, die Ihre gesamte Belegschaft bereits innehat. Eine einzige Deserialisierungssenke verwandelt jeden Site-Member — einen Mitarbeiter, einen Auftragnehmer, einen übermäßig freigegebenen Gast — in Code-Execution auf einem Server, der Ihre sensibelsten Dokumente speichert und eine Brücke zu SQL Server und Active Directory bildet. Wir helfen Organisationen, diese Object-Injection- und Deserialisierungssenken zu finden, bevor es Angreifer tun, zu validieren, dass On-Prem-SharePoint-Farmen wirklich gepatcht sind (Build-Nummer und PSConfig angewendet, nicht nur „die KB installiert”), und zu prüfen, ob eine Kompromittierung der Web-Schicht erkannt würde, bevor sie zu Datendiebstahl oder Ransomware wird. Unsere Web-Application- und Active-Directory-Penetrationstests bilden genau die Kette ab, die diese CVE abkürzt: von einem normalen Benutzerkonto über Server-Code-Execution bis zu domänenweiten Auswirkungen.

Unsere Leistungen

  • Penetration Testing: Webanwendungen, Mobile Apps (Android & iOS), SAP-Systeme, Active Directory
  • Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Engagements
  • Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt — bevor es Angreifer tun.


Kontakt:

🌐 Website: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH


Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihrer Kollaborationsplattformen ist unser Antrieb.


Quellen

Über den Autor

SEKurity Team

Offensive Security Experten

Das SEKurity GmbH Team besteht aus erfahrenen Penetrationstestern, Security-Forschern und Cybersecurity-Beratern. Unter dem Motto 'Your Trusted Adversaries' unterstützen wir Organisationen dabei, ihre IT-Sicherheit aus der Perspektive eines Angreifers zu bewerten und zu verbessern.

Verwandte Artikel