De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een nieuw gepatcht beveiligingslek met gevolgen voor Microsoft SharePoint Server toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor agentschappen van de Federal Civilian Executive Branch (FCEB) de oplossingen vóór 19 juli 2026 moeten toepassen.
De kwetsbaarheid in kwestie is CVE-2026-58644 (CVSS-score: 9,8), een kritische deserialisatie van niet-vertrouwde gegevenskwetsbaarheid waardoor een ongeautoriseerde aanvaller willekeurige code kan uitvoeren.
“Bij een netwerkgebaseerde aanval kan een aanvaller die zich tenminste als site-eigenaar heeft geauthenticeerd, willekeurige code schrijven om code op afstand op de SharePoint Server te injecteren en uit te voeren”, zei Microsoft in een advies dat eerder deze week werd uitgebracht.
Redmond merkte op dat de kwetsbaarheid op afstand kan worden misbruikt via internet en waarschuwde dat de aanvalscomplexiteit om twee redenen laag is:
- Een aanvaller heeft geen significante voorkennis van het systeem nodig
- Een aanvaller kan herhaalbaar succes behalen met de payload tegen het kwetsbare onderdeel
Het beveiligingslek heeft gevolgen voor de volgende versies:
- Microsoft SharePoint Server-abonnementseditie
- Microsoft SharePoint-server 2019
- Microsoft SharePoint Enterprise Server 2016
Patches voor de fout zijn uitgebracht als onderdeel van de Patch Tuesday-updates die op 14 juli 2026 zijn uitgebracht. Microsoft heeft sindsdien zijn bulletin herzien om te verduidelijken dat CVE-2026-58644 in het wild is uitgebuit, wat betekent dat de tekortkoming werd bewapend als een zero-day voordat de oplossingen beschikbaar kwamen.
Deze ontwikkeling komt nadat CISA waarschuwde voor actieve exploitatie van meerdere SharePoint Server-kwetsbaarheden, waaronder CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 en CVE-2026-58644, waardoor bedreigingsactoren ongeautoriseerde toegang zouden kunnen krijgen tot on-premises instances.
“Deze kwetsbaarheden zijn van invloed op alle ondersteunde lokale SharePoint Server-versies (Subscription Edition, 2019 en 2016) en omvatten het opzetten van externe code-uitvoering (RCE) en post-exploitatieactiviteiten, zoals het stelen van Internet Information Services (IIS)-machinesleutels en het uitvoeren van deserialisatietechnieken, om persistentie te verkrijgen en malware te implementeren”, merkte de federale cyberveiligheidswaakhond op.
CISA heeft de volgende verhardende maatregelen geschetst om de dreiging in te dammen:
- Pas de nieuwste patches en beveiligingsupdates van Microsoft toe, controleer of ze succesvol zijn geïnstalleerd en verkort de patchcycli waar mogelijk.
- Controleer of de Antimalware Scan Interface (AMSI)-integratie is ingeschakeld voor elke SharePoint-webtoepassing.
- Scan op inbraakartefacten en verwijder deze, inclusief gereedschappen voor het verzamelen van machinesleutels, voordat u IIS-machinesleutels draait om diefstal van de sleutels te voorkomen.
- Op maat gemaakte logmechanismen opzetten om exploitatieactiviteiten te detecteren en te monitoren.
- Vermijd het rechtstreeks blootstellen van SharePoint-servers aan internet, tenzij dit noodzakelijk is.
- Blokkeer externe toegang tot SharePoint Central Administration, beperk farm- en databasecommunicatie tot de vereiste systemen en bekijk de Microsoft SharePoint Server-richtlijnen voor beveiligingsverbetering voor rolspecifieke poorten, services en Web.config-instellingen.
Donderdag voegde het bureau ook twee kritieke beveiligingsfouten toe die van invloed zijn op Fortinet FortiSandbox (CVE-2026-25089 en CVE-2026-39808) aan de KEV-catalogus, na berichten over actieve exploitatie. Federale instanties hebben tot 19 juli 2026 de tijd om hun instanties bij te werken naar de nieuwste ondersteunde versies.