CVE202620963 wurde ursprünglich im Januar 2026 veröffentlicht, hat aber in letzter Zeit aufgrund der bestätigten aktiven Ausnutzung erneut an Aufmerksamkeit gewonnen.

Überblick

Die CISA nahm die Sicherheitslücke am 18. März 2026 in ihre Liste der bekannten ausgenutzten Sicherheitslücken (KEV) auf, nachdem Berichte über Angriffe in der realen Welt eingegangen waren. Bei der Schwachstelle handelt es sich um eine Sicherheitsanfälligkeit für Remotecodeausführung in Microsoft SharePoint, die durch unsachgemäße Behandlung nicht vertrauenswürdiger Daten während der Deserialisierung verursacht wird. Einmal ausgelöst, können Angreifer Code auf dem SharePoint-Server ausführen, und die verfügbaren Informationen deuten darauf hin, dass eine Authentifizierung nicht erforderlich sein könnte.

Da SharePoint häufig sensible interne Informationen speichert und wichtige Arbeitsabläufe für die Zusammenarbeit unterstützt, kann eine erfolgreiche Ausnutzung der Schwachstelle zu erheblichen Betriebs- und Datensicherheitsrisiken führen.

Was die Sicherheitsanfälligkeit zulässt

Wenn sie ausgenutzt wird, kann ein Angreifer:

• Beliebigen Code auf dem SharePoint-Server ausführen
• Vollständige Kontrolle über den Host erlangen
• sich seitlich innerhalb der Umgebung bewegen
• Malware und Hintertüren einsetzen oder eine Persistenz einrichten
• Möglicherweise Datendiebstahl oder Ransomware-Operationen vorbereiten

Nach den derzeit verfügbaren Informationen scheint es sich um einen Fernangriff zu handeln, für den keine Anmeldedaten erforderlich sind.

Betroffene Versionen

Nach den veröffentlichten Informationen sind die folgenden Microsoft SharePoint-Produkte betroffen:

• SharePoint Server 2016
• SharePoint Server 2019
• SharePoint-Abonnement-Edition

Aktuelle Bedrohungsaktivität

CVE202620963 wird aktiv ausgenutzt. Obwohl bestimmte Bedrohungsgruppen nicht öffentlich identifiziert wurden, stimmen die beobachteten Techniken mit denen überein, die von Angreifern verwendet werden, die darauf spezialisiert sind, sich einen ersten Zugang zu verschaffen, um dann weiter einzudringen oder Ransomware einzusetzen.

Empfohlene Abhilfemaßnahmen

1. Sofortige Anwendung von Patches

Microsoft hat Sicherheitsupdates veröffentlicht, die das Problem beheben. Die Aktualisierung aller betroffenen SharePoint-Server auf die neueste gepatchte Version ist der wichtigste Schritt.

2. Begrenzen Sie die Netzwerkexposition

Stellen Sie sicher, dass SharePoint-Server nicht unnötig exponiert sind:

• Beschränken Sie den Zugriff aus nicht vertrauenswürdigen Netzwerken
• Erzwingen Sie angemessene Firewall- und Reverseproxy-Kontrollen
• Entfernen Sie jegliche direkte externe Exposition, sofern dies nicht unbedingt erforderlich ist.

3. Verstärkte Überwachung und Protokollierung

Verstärkte Überwachung der betroffenen Server auf:

• Ungewöhnliche oder nicht autorisierte Dateiänderungen
• Verdächtige Prozesse, die unter SharePoint-Dienstkonten laufen
• Unerwartete ausgehende Netzwerkverbindungen

4. Überprüfung von Berechtigungen und Zugriffskontrollen

Überprüfen Sie administrative Rollen und Dienstkonten, um sicherzustellen, dass nur minimale Berechtigungen zugewiesen werden.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.