SharePoint RCE CVE-2026-45659 toegevoegd aan CISA KEV na actieve exploitatie

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft woensdag een zeer ernstige fout met gevolgen voor Microsoft SharePoint Server toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.

De kwetsbaarheid, bijgehouden als CVE-2026-45659 (CVSS-score: 8,8), is een geval van uitvoering van code op afstand als gevolg van de deserialisatie van niet-vertrouwde gegevens. Het probleem is in mei 2026 door Microsoft verholpen voor SharePoint Server Subscription Edition, SharePoint Server 2019 en SharePoint Enterprise Server 2016.

Microsoft merkte op dat elke geverifieerde aanvaller het beveiligingslek kan activeren en dat hiervoor geen beheerders- of andere verhoogde rechten vereist zijn. Bij een netwerkgebaseerde aanval kan een geverifieerde aanvaller met een minimum aan Site Member-machtigingen (PR:L) deze gebruiken om op afstand code uit te voeren op de SharePoint Server.

“Microsoft SharePoint Server bevat een deserialisatie van niet-vertrouwde gegevenskwetsbaarheid, waardoor een geautoriseerde aanvaller code via een netwerk kan uitvoeren”, aldus CISA.

Volgens het advies van de Windows-maker is de fout gelabeld met een ‘Exploitation Less Likely’-beoordeling. Het is momenteel niet bekend hoe de kwetsbaarheid wordt uitgebuit, wie er achter de activiteit zit en wat de einddoelen van deze inspanningen zijn.

In het licht van actieve uitbuiting wordt de agentschappen van de Federal Civilian Executive Branch (FCEB) geadviseerd om de oplossingen vóór 4 juli 2026 toe te passen.

Microsoft ontdekt parallelle bedreigingsactiviteit vanuit twee clusters

Eind vorige maand onthulde Microsoft dat bij een routinematig onderzoek naar ransomware twee niet-verwante aanvallers aan het licht kwamen die gelijktijdig binnen hetzelfde netwerk opereerden, terwijl ze doelbewuste technieken gebruikten om permanente toegang tot stand te brengen en de respons op incidenten te bemoeilijken.

Eén reeks aanvallen wordt toegeschreven aan Storm-2603, een bedreigingsacteur die sinds medio 2025 bekend staat om het inzetten van Warlock-ransomware, vaak door gebruik te maken van bekende kwetsbaarheden in lokale SharePoint-servers.

“In dit geval werd waarschijnlijk geprobeerd toegang te krijgen via een afzonderlijke kwetsbaarheid, met verzoeken om bestanden als win.ini en web.config, wat erop wijst dat er wordt gezocht naar lokale bestandsopname”, aldus Microsoft. Er zijn aanwijzingen dat het CVE-2025-11371 is (CVSS-score: 9,1), een kritieke fout die gevolgen heeft voor Gladinet Triofox.

Bij het verkrijgen van de eerste toegang zou de bedreigingsacteur tools als Velociraptor hebben ingezet om kwaadaardige activiteiten te combineren met vertrouwd administratief gedrag, en meerdere kanalen voor externe toegang hebben opgezet via Cloudflare-tunneling, Zoho Assist en Secure Shell (SSH)-verbindingen geconfigureerd via Visual Studio Code.

De aanval escaleerde ook de bevoegdheden door nieuwe lokale en domeinbeheerdersaccounts aan te maken, terwijl een kwetsbaar stuurprogramma (“NSecKrnl.sys”) fungeerde als kanaal voor het knoeien met eindpuntbeveiligingen om de zichtbaarheid ervan te helpen verminderen.

Tegelijkertijd zei Microsoft dat het tekenen heeft ontdekt van een tweede, niet-verwante bedreigingsacteur die naast elkaar in dezelfde omgeving bestaat met behulp van DLL-side-loading en aangepaste achterdeurtjes, waardoor de attributie uitdagender wordt.

Uit verder onderzoek bleek dat de aanvallers zich lateraal buiten het eerste netwerk hadden verplaatst naar een tweede organisatie, wat bevestigde dat ze waren gecompromitteerd door dezelfde ransomware-activiteit die werd toegeschreven aan Storm-2603.

“Samen hebben deze overlappende activiteitenstromen duurzame toegang mogelijk gemaakt, terwijl de volledige omvang van de inbraak werd gemaskeerd”, aldus het Microsoft Incident Response-team. “Dankzij de combinatie van bekende ransomware-tactieken en verborgen technieken konden de bedreigingsactoren diepe en blijvende toegang verkrijgen.”

“Wat lijkt op een enkel ransomware-incident kan snel uitgroeien tot iets complexer organisaties, waarbij tactieken worden gecombineerd en waarbij zelfs meerdere bedreigingsactoren betrokken zijn die parallel opereren. Voor beveiligingsteams is de implicatie duidelijk: geïsoleerde signalen vertellen zelden het volledige verhaal.”

Thijs Van der Does