Microsoft SharePoint-Schwachstelle ermöglicht Fernausführung von Schadcode

Mai 2026 veröffentlicht und stellt insbesondere für Organisationen mit On-Premises-SharePoint-Implementierungen ein erhebliches Risiko dar. Die Verwundbarkeit entsteht durch die Deserialisierung ürdigen Daten innerhalb der Microsoft Office SharePoint-Umgebung.

Wird diese Lücke erfolgreich ausgenutzt, kann ein netzwerkbasierter Angreifer Code auf dem Server ferngesteuert ausführen. Microsoft stuft die Schwachstelle als „Important" (Wichtig) ein.

Zwar bewertet das Unternehmen die aktuelle Ausnutzbarkeit als „Exploitation Less Likely" (Ausnutzung unwahrscheinlich), doch die geringe Komplexität des Angriffs macht die Lücke zu einer beachtlichen Bedrohung, die sofortige Aufmerksamkeit erfordert.

Technischer Hintergrund

Besonders besorgniserregend ist die niedrige Schwelle zur Ausnutzung: Jeder authentifizierte Benutzer mit mindestens den Rechten eines Site Member kann die Verwundbarkeit auslösen. Administrative Berechtigungen oder erhöhte Zugriffsrechte sind hierfür nicht erforderlich.

Der Angriffsvektor ist netzwerkbasiert (AV:N) und weist eine geringe Angriffscomplexität (AC:L) auf. Das bedeutet, dass ein Angreifer keine speziellen Vorkenntnisse über das Zielsystem benötigt und eine wiederholbare, zuverlässige Ausnutzung aus dem Internet durchführen kann.

Microsoft hat Sicherheitsupdates für alle betroffenen SharePoint Server-Versionen veröffentlicht. Organisationen sollten das Patchen priorisieren und unverzüglich durchführen.

Technischer Hintergrund

Die betroffenen Produkte sowie die zugehörigen KB-Artikel und Build-Nummern sind wie folgt: * SharePoint Server Subscription Edition: KB 5002863, Build 16.0.19725.20280 * SharePoint Server 2019: KB 5002870, Build 16.0.10417.20128 * SharePoint Enterprise Server 2016: KB 5002868, Build 16.0.5552.1002 Sicherheitsteams sollten unverzüglich folgende Maßnahmen ergreifen: * Installieren Sie die Sicherheitsupdates vom 21.

Mai 2026 für alle betroffenen SharePoint-Versionen über den Microsoft Update Catalog oder den direkten Download. * Prüfen Sie die Berechtigungen für die Site-Mitgliedschaft und beschränken Sie den Zugriff ßlich auf vertrauenswürdige Benutzer. * Überwachen Sie die SharePoint-Server-Logs auf ungewöhnliche Deserialisierungsaktivitäten oder unerwartete Versuche zur Codeausführung. * Isolieren Sie internetzugängliche SharePoint-Instanzen, bis bestätigt ist, dass die Patches erfolgreich installiert wurden. * Erwägen Sie die Aktivierung (WAF)-Regeln, um bösartige Deserialisierungs-Payloads zu erkennen und zu blockieren.

Obwohl Microsoft derzeit bestätigt, dass die Schwachstelle nicht öffentlich bekanntgegeben wurde und nicht aktiv ausgenutzt wird, macht die geringe Komplexität sowie die netzwerkzugängliche Angriffsfläche sie zu einem idealen Kandidaten für zukünftige Ausnutzungen, sobald Proof-of-Concept-Code verfügbar ist.

Organisationen, die SharePoint für die interne Zusammenarbeit, das Dokumentenmanagement oder externe Portale nutzen, sind einem erhöhten Risiko ausgesetzt, wenn Patches verzögert werden. Sicherheitsteams werden dringend aufgefordert, dies als Priorität für das Patchen im nächsten Wartungsfenster zu behandeln.