CVSS 8.8. Det er alvorligheten på CVE-2026-45659, et remote code execution-hull i Microsoft SharePoint Server som USAs cybersikkerhetsbyrå CISA onsdag la til i katalogen sin over kjente utnyttede sårbarheter (KEV), med henvisning til bevis på aktiv utnyttelse. Microsoft fikset hullet allerede i mai 2026 for Subscription Edition, SharePoint Server 2019 og Enterprise Server 2016.
Hullet stammer fra deserialisering av upålitelige data. «SharePoint Server har en deserialiserings-sårbarhet som lar en autorisert angriper kjøre kode over nettverket», skriver CISA. Verre er lav terskel: enhver autentisert bruker med minimum Site Member-tilgang holder, ingen admin-rettigheter kreves. Et paradoks er at Microsoft selv vurderte hullet som «Exploitation Less Likely», mens det nå altså utnyttes i praksis.
Angrepene faller sammen med annen aktivitet Microsoft nylig avdekket: under en ransomware-etterforskning fant de to urelaterte angripere i samme nettverk samtidig. Den ene knyttes til Storm-2603, kjent for Warlock-ransomware via hull i lokale SharePoint-servere siden midten av 2025. Gruppa brukte verktøy som Velociraptor, Cloudflare-tunneler og Zoho Assist for å blande seg inn i legitim admin-aktivitet, og opprettet nye admin-kontoer for varig tilgang.
«Isolerte signaler forteller sjelden hele historien», skrev Microsofts Incident Response-team. For deg som drifter SharePoint on-prem er poenget konkret: et hull som ikke krever admin, i en tjeneste som allerede er et yndet ransomware-mål.
Hva bør du gjøre?
- Installer Microsofts mai-2026-oppdatering for din SharePoint-versjon (Subscription Edition, 2019 eller Enterprise 2016) umiddelbart.
- Behandle enhver konto med Site Member-tilgang som en mulig angrepsvektor, siden hullet ikke krever forhøyede rettigheter.
- Se etter tegn på Storm-2603: nye lokale eller domene-admin-kontoer, Velociraptor, Cloudflare-tunneler og SSH satt opp via Visual Studio Code.