Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 1T SIDEN · sikkerhet

SharePoint-hull CVE-2026-45659 utnyttes aktivt: CISA setter frist 4. juli

SYNOPSIS_GENERERT

CVE-2026-45659 (CVSS 8.8) er et RCE-hull i Microsoft SharePoint Server som nå utnyttes aktivt, og CISA krever at føderale etater fikser det innen 4. juli 2026.

CVSS 8.8. Det er alvorligheten på CVE-2026-45659, et remote code execution-hull i Microsoft SharePoint Server som USAs cybersikkerhetsbyrå CISA onsdag la til i katalogen sin over kjente utnyttede sårbarheter (KEV), med henvisning til bevis på aktiv utnyttelse. Microsoft fikset hullet allerede i mai 2026 for Subscription Edition, SharePoint Server 2019 og Enterprise Server 2016.

Hullet stammer fra deserialisering av upålitelige data. «SharePoint Server har en deserialiserings-sårbarhet som lar en autorisert angriper kjøre kode over nettverket», skriver CISA. Verre er lav terskel: enhver autentisert bruker med minimum Site Member-tilgang holder, ingen admin-rettigheter kreves. Et paradoks er at Microsoft selv vurderte hullet som «Exploitation Less Likely», mens det nå altså utnyttes i praksis.

Angrepene faller sammen med annen aktivitet Microsoft nylig avdekket: under en ransomware-etterforskning fant de to urelaterte angripere i samme nettverk samtidig. Den ene knyttes til Storm-2603, kjent for Warlock-ransomware via hull i lokale SharePoint-servere siden midten av 2025. Gruppa brukte verktøy som Velociraptor, Cloudflare-tunneler og Zoho Assist for å blande seg inn i legitim admin-aktivitet, og opprettet nye admin-kontoer for varig tilgang.

«Isolerte signaler forteller sjelden hele historien», skrev Microsofts Incident Response-team. For deg som drifter SharePoint on-prem er poenget konkret: et hull som ikke krever admin, i en tjeneste som allerede er et yndet ransomware-mål.

Hva bør du gjøre?

  1. Installer Microsofts mai-2026-oppdatering for din SharePoint-versjon (Subscription Edition, 2019 eller Enterprise 2016) umiddelbart.
  1. Behandle enhver konto med Site Member-tilgang som en mulig angrepsvektor, siden hullet ikke krever forhøyede rettigheter.
  2. Se etter tegn på Storm-2603: nye lokale eller domene-admin-kontoer, Velociraptor, Cloudflare-tunneler og SSH satt opp via Visual Studio Code.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN