Cybersecurity

SharePoint-Zero-Day CVE-2026-58644: Jetzt patchen und Ihre Machine Keys rotieren

SharePoint CVE-2026-58644 ist ein Remote-Code-Execution-Zero-Day mit CVSS 9.8, der bereits aktiv ausgenutzt wird. Die CISA gab Bundesbehörden bis zum July 19, 2026 Zeit, On-Prem-SharePoint-Server zu patchen – und die Rotation Ihrer IIS Machine Keys ist ebenso wichtig wie der Patch selbst.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 18. Juli 2026 6 Min. Lesezeit
SharePoint-Zero-Day CVE-2026-58644: Jetzt patchen und Ihre Machine Keys rotieren

Microsoft SharePoint Server weist eine kritische Remote-Code-Execution-Schwachstelle auf, CVE-2026-58644, die einen CVSS-Wert von 9.8 trägt und bereits aktiv ausgenutzt wird. Microsoft schloss sie mit dem Patch-Tuesday-Release vom July 14 und überarbeitete das Bulletin anschließend stillschweigend, um einzuräumen, dass der Fehler bereits als Zero-Day als Waffe eingesetzt worden war, bevor überhaupt ein Fix existierte. Die CISA nahm ihn am July 17 in ihren Known-Exploited-Vulnerabilities-Katalog auf und gab Bundesbehörden bis July 19 Zeit zum Patchen. Wenn Sie SharePoint On-Premises betreiben und es mit dem Internet verbunden ist, behandeln Sie dies als Notfall – und seien Sie sich bewusst, dass das Einspielen des Patches nur die halbe Miete ist.

Was ist CVE-2026-58644?

CVE-2026-58644 ist eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten im On-Premises-SharePoint-Server. Ein Angreifer, der mit mindestens Site-Owner-Rechten authentifiziert ist, kann über das Netzwerk beliebigen Code auf dem Server schreiben und ausführen – weshalb Microsoft die Lücke mit 9.8 bei geringer Angriffskomplexität einstuft. Sie ist aus der Ferne über das Internet ausnutzbar, und die Rolle des Site Owners ist in einem großen Intranet, in dem Hunderte von Mitarbeitern eine Site besitzen können, keine hohe Hürde.

Der Fehler betrifft die unterstützten On-Premises-Builds: SharePoint Server Subscription Edition, SharePoint Server 2019 und SharePoint Enterprise Server 2016. SharePoint Online in Microsoft 365 ist nicht betroffen, da Microsoft seine eigene gehostete Umgebung patcht. Dies ist ausschließlich ein Problem selbst gehosteter Systeme, und es trifft dieselben On-Prem-Server, die im vergangenen Jahr eine harte Serie kritischer Bugs verkraften mussten.

Warum dies ein "Jetzt patchen"-Notfall ist

Drei Fakten schieben CVE-2026-58644 an die Spitze der Warteschlange. Erstens wurde er als Zero-Day ausgenutzt: Angreifer hatten funktionierenden Code, bevor die Verteidiger einen Patch hatten, sodass jeder exponierte Server bereits kompromittiert sein könnte. Zweitens handelte die CISA schnell und nahm ihn am July 17 mit einer Remediation-Frist bis July 19 für Bundesbehörden in den KEV-Katalog auf. Ein zweitägiges Bundesfenster ist ungewöhnlich kurz und signalisiert, dass die Ausnutzung real ist und sich ausweitet. Drittens ist er nicht die einzige SharePoint-Schwachstelle, die derzeit aktiv angegriffen wird.

Die Warnmeldung der CISA nennt ein Bündel ausgenutzter SharePoint-Bugs, wobei CVE-2026-58644 neben CVE-2026-32201, CVE-2026-45659 und CVE-2026-56164 steht. On-Premises-SharePoint ist zu einem bevorzugten Ziel geworden, weil es aus dem Internet erreichbar ist, sensible Dokumente enthält und beim Patchen oft hinterherhinkt. Dies ist dasselbe Muster, das hinter anderen internetseitigen RCEs steckt, über die wir dieses Jahr berichtet haben – von der Pre-Auth-Lücke in Progress KEMP LoadMaster bis zu einem Juni-Patch-Tuesday, der sechs separate Zero-Days auslieferte.

Patchen allein wird Sie nicht retten

Hier kommt der Teil, den die meiste Berichterstattung überspringt. Bei einem SharePoint-Deserialisierungsfehler schließt das Einspielen des Updates zwar die Tür, wirft aber niemanden hinaus, der bereits drinnen ist. Die "ToolShell"-Kampagne von 2025 lehrte die Verteidiger eine harte Lektion: Sobald ein Angreifer auf SharePoint Codeausführung erreicht, greift er die ASP.NET Machine Keys des Servers ab, und diese Keys erlauben es ihm, signierte __VIEWSTATE-Payloads zu fälschen, um selbst nach vollständigem Patchen wieder hereinzuspazieren. Ein Patch rotiert keinen gestohlenen Key.

Genau deshalb geht die Härtungsempfehlung der CISA weit über "Update installieren" hinaus. Die Behörde weist SharePoint-Betreiber an, die AMSI-Integration zu aktivieren, die IIS Machine Keys zu rotieren und nach Tools zum Abgreifen von Machine Keys sowie anderen Einbruchsspuren zu suchen und diese zu entfernen, bevor der Vorfall als abgeschlossen gilt. Wenn Ihr Server in den Tagen vor dem Patchen dem Internet ausgesetzt war, sollten Sie davon ausgehen, dass die Keys entwendet worden sein könnten, sie rotieren und dann IIS neu starten, damit die Änderung wirksam wird.

Ihre Remediation-Checkliste

Arbeiten Sie von oben nach unten. Hören Sie nicht bei Schritt eins auf.

PrioritätMaßnahmeWarum es zählt
1Die SharePoint-Updates vom July 2026 auf jedem On-Prem-Server einspielenSchließt CVE-2026-58644 und die verwandten ausgenutzten CVEs
2AMSI im Full Mode aktivieren und bestätigen, dass Defender/AV läuftBlockiert viele Web-Shell- und Deserialisierungs-Payloads zur Laufzeit
3IIS Machine Keys rotieren, dann IIS neu startenMacht alle Keys ungültig, die ein Angreifer bereits gestohlen haben könnte
4Nach Web-Shells, Key-Harvesting-Tools und ungewöhnlichen w3wp.exe-Kindprozessen suchenEine gepatchte Maschine kann trotzdem eine kompromittierte Maschine sein
5SharePoint aus dem öffentlichen Internet nehmen oder hinter ein VPN-/ZTNA-Gateway stellenBeseitigt die Exposition, die es aus der Ferne ausnutzbar macht
6Zugriff auf die Zentraladministration einschränken und maßgeschneidertes Logging aktivierenBegrenzt den Schadensradius und liefert Ihnen Beweise, falls Sie getroffen werden

Wenn SharePoint nicht dem öffentlichen Internet ausgesetzt sein muss, ist die sauberste Lösung, es gar nicht erst zu exponieren. Dasselbe Prinzip gilt für jeden selbst gehosteten Dienst, den Sie betreiben; es ist das Erste, das es abzusichern lohnt, wenn Sie die sichere erste Stunde eines neuen Servers einrichten.

Das größere Bild

CVE-2026-58644 kam im Rahmen eines der größten Patch Tuesdays, die Microsoft je hatte, und On-Premises-SharePoint produziert Quartal für Quartal weiterhin kritische, aktiv ausgenutzte RCEs. Für viele Organisationen lautet die ehrliche Frage nicht mehr "wie schnell können wir diese eine Lücke patchen", sondern "warum ist dieser Dokumentenserver überhaupt noch aus dem offenen Internet erreichbar". Patchen ist hier zwingend und dringend. Die Reduzierung der Angriffsfläche, damit der nächste SharePoint-Zero-Day keine internetseitige Krise wird, ist der langfristige Gewinn.

Häufig gestellte Fragen

Wird CVE-2026-58644 aktiv ausgenutzt?

Ja. Microsoft bestätigte die Ausnutzung in freier Wildbahn und überarbeitete seine Warnmeldung, um den Fehler als Zero-Day zu kennzeichnen, und die CISA nahm ihn am July 17, 2026 mit einer bundesweiten Patch-Frist bis July 19 in den Known-Exploited-Vulnerabilities-Katalog auf.

Sind SharePoint Online oder Microsoft 365 betroffen?

Nein. Die Schwachstelle betrifft ausschließlich On-Premises-SharePoint-Server, konkret Subscription Edition, 2019 und Enterprise Server 2016. Das von Microsoft gehostete SharePoint Online wird von Microsoft gepatcht und liegt außerhalb des Geltungsbereichs.

Muss ich nach dem Patchen wirklich die Machine Keys rotieren?

Wenn Ihr Server vor dem Einspielen des Fixes dem Internet ausgesetzt war, ja. Angreifer, die Codeausführung erreicht haben, können ASP.NET Machine Keys stehlen und wiederverwenden, um nach dem Patchen erneut Zugriff zu erlangen. Deshalb empfiehlt die CISA, im Rahmen der Remediation die IIS Machine Keys zu rotieren und IIS neu zu starten.

Muss der Angreifer authentifiziert sein?

Ja, mindestens als Site Owner. Das ist bei einer großen Bereitstellung mit vielen Site Ownern eine niedrigere Hürde, als es klingt, und in Kombination mit der geringen Angriffskomplexität und der Netzwerkerreichbarkeit ergibt sich daraus dennoch eine Bewertung von 9.8.

Sources

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer ist Entwickler und Automation-Builder mit über 8 Jahren Erfahrung im Aufbau von Produktivsystemen, die von mehr als 100.000 Menschen genutzt werden. Er baut individuelle Multi-Tenant-SaaS, KI-Automatisierung (n8n, LLM-Workflows, WhatsApp-Bots) und Hosting-Infrastruktur (WHM/cPanel, CloudLinux) — und ist der Macher von WaSphere, FlowMaticX und der Hosting-Marke WaseerHost. Über 100 Projekte für KMU, Agenturen und finanzierte Start-ups umgesetzt.

Ähnliche Beiträge

Mehr in Cybersecurity

Alle ansehen

Diskussion · 0

Bleib fair. Kommentare sind öffentlich.

    Newsletter · Montagsausgabe

    Der Montagsbrief.

    Eine E-Mail jeden Montagmorgen. Die kommende Woche in KI, Startups, Hosting und Dev-Tools — ohne Schnickschnack, ohne gesponserten Köder.

    Kostenlos. Abmeldung mit einem Klick.