Cybersecurity

SharePoint-zeroday CVE-2026-58644: patch nu en roteer je machine keys

SharePoint CVE-2026-58644 is een remote-code-execution-zeroday met CVSS 9.8 die al actief wordt misbruikt. CISA gaf federale instanties tot July 19, 2026 om on-prem SharePoint Server te patchen, en het roteren van je IIS machine keys telt net zo zwaar als de patch zelf.

Waqas Ahmed Waseer
Waqas Ahmed Waseer 18 jul 2026 6 min leestijd
SharePoint-zeroday CVE-2026-58644: patch nu en roteer je machine keys

Microsoft SharePoint Server heeft een kritiek remote-code-execution-lek, CVE-2026-58644, dat een CVSS-score van 9.8 draagt en al actief wordt misbruikt. Microsoft dichtte het in de Patch Tuesday-release van July 14 en herzag daarna stilletjes het bulletin om toe te geven dat het lek al als zeroday tot wapen was gemaakt voordat er een fix bestond. CISA voegde het op July 17 toe aan zijn Known Exploited Vulnerabilities-catalogus en gaf federale instanties tot July 19 om te patchen. Draai je SharePoint on-premises en staat het aan het internet, behandel dit dan als een noodgeval, en besef dat het installeren van de patch pas de helft van het werk is.

Wat is CVE-2026-58644?

CVE-2026-58644 is een kwetsbaarheid door deserialisatie van niet-vertrouwde data in on-premises SharePoint Server. Een aanvaller die is geauthenticeerd met minimaal Site Owner-rechten kan over het netwerk willekeurige code op de server schrijven en uitvoeren, en daarom beoordeelt Microsoft het met 9.8 bij lage aanvalscomplexiteit. Het is op afstand misbruikbaar via het internet, en de rol van Site Owner is geen hoge drempel op een groot intranet waar honderden medewerkers eigenaar van een site kunnen zijn.

Het lek treft de ondersteunde on-premises builds: SharePoint Server Subscription Edition, SharePoint Server 2019 en SharePoint Enterprise Server 2016. SharePoint Online in Microsoft 365 is niet getroffen, omdat Microsoft zijn eigen gehoste omgeving patcht. Dit is strikt een probleem van zelf-gehoste systemen, en het valt op dezelfde on-prem servers die het afgelopen jaar een meedogenloze reeks kritieke bugs hebben moeten opvangen.

Waarom dit een "nu patchen"-noodgeval is

Drie feiten duwen CVE-2026-58644 bovenaan de wachtrij. Ten eerste werd het als zeroday misbruikt: aanvallers hadden werkende code voordat verdedigers een patch hadden, dus elke blootgestelde server kan al gecompromitteerd zijn. Ten tweede handelde CISA snel en voegde het op July 17 toe aan de KEV-catalogus met een remediatiedeadline van July 19 voor federale instanties. Een federaal venster van twee dagen is ongewoon kort en signaleert dat het misbruik reëel is en zich uitbreidt. Ten derde is het niet het enige SharePoint-lek dat op dit moment actief wordt aangevallen.

De waarschuwing van CISA wijst op een cluster van misbruikte SharePoint-bugs, met CVE-2026-58644 naast CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164. On-premises SharePoint is een geliefd doelwit geworden omdat het aan het internet staat, gevoelige documenten bevat en vaak achterloopt met patches. Dit is hetzelfde patroon dat schuilgaat achter andere internetgerichte RCE's die we dit jaar hebben behandeld, van het pre-auth-lek in Progress KEMP LoadMaster tot een Patch Tuesday in juni die zes afzonderlijke zerodays uitbracht.

Alleen patchen zal je niet redden

Hier komt het deel dat de meeste berichtgeving overslaat. Bij een SharePoint-deserialisatielek sluit het toepassen van de update wel de deur, maar zet het niemand buiten die al binnen is. De "ToolShell"-campagne van 2025 leerde verdedigers een harde les: zodra een aanvaller code-uitvoering op SharePoint bereikt, oogst hij de ASP.NET machine keys van de server, en met die sleutels kan hij ondertekende __VIEWSTATE-payloads vervalsen om weer binnen te wandelen, zelfs nadat de server volledig is gepatcht. Een patch roteert geen gestolen sleutel.

Dat is precies waarom de hardeningsrichtlijn van CISA veel verder gaat dan "installeer de update". De instantie draagt SharePoint-beheerders op om AMSI-integratie in te schakelen, de IIS machine keys te roteren en te jagen op tools voor het oogsten van machine keys en andere inbraaksporen en die te verwijderen voordat ze het incident als gesloten beschouwen. Als je server in de dagen vóór het patchen aan het internet stond, moet je ervan uitgaan dat de sleutels mogelijk zijn buitgemaakt, ze roteren en daarna IIS opnieuw starten zodat de wijziging van kracht wordt.

Je remediatie-checklist

Werk van boven naar beneden. Stop niet bij stap één.

PrioriteitActieWaarom het telt
1Pas de SharePoint-updates van July 2026 toe op elke on-prem serverSluit CVE-2026-58644 en de gerelateerde misbruikte CVE's
2Schakel AMSI in Full Mode in en bevestig dat Defender/AV aan staatBlokkeert veel web-shell- en deserialisatie-payloads tijdens runtime
3Roteer de IIS machine keys en start daarna IIS opnieuwMaakt alle sleutels ongeldig die een aanvaller al gestolen kan hebben
4Jaag op web shells, key-harvesting-tools en vreemde w3wp.exe-kindprocessenEen gepatchte machine kan nog steeds een gecompromitteerde machine zijn
5Haal SharePoint van het openbare internet of zet het achter een VPN-/ZTNA-gatewayVerwijdert de blootstelling die het op afstand misbruikbaar maakt
6Beperk de toegang tot Central Administration en zet gerichte logging aanBeperkt de schaderadius en geeft je bewijs als je wordt geraakt

Als SharePoint niet naar het openbare internet gericht hoeft te zijn, is de schoonste oplossing om het helemaal niet meer bloot te stellen. Hetzelfde principe geldt voor elke zelf-gehoste dienst die je draait; het is het eerste dat de moeite waard is om te vergrendelen wanneer je het veilige eerste uur van een nieuwe server inricht.

Het grotere plaatje

CVE-2026-58644 arriveerde binnen een van de grootste Patch Tuesdays ooit van Microsoft, en on-premises SharePoint blijft kwartaal na kwartaal kritieke, actief misbruikte RCE's produceren. Voor veel organisaties luidt de eerlijke vraag niet langer "hoe snel kunnen we deze patchen", maar "waarom is deze documentserver überhaupt nog bereikbaar vanaf het open internet". Patchen is hier verplicht en urgent. Het verkleinen van het aanvalsoppervlak, zodat de volgende SharePoint-zeroday geen internetgerichte crisis wordt, is de winst op de lange termijn.

Veelgestelde vragen

Wordt CVE-2026-58644 actief misbruikt?

Ja. Microsoft bevestigde misbruik in het wild en herzag zijn waarschuwing om het lek als zeroday te markeren, en CISA voegde het op July 17, 2026 toe aan de Known Exploited Vulnerabilities-catalogus met een federale patchdeadline van July 19.

Zijn SharePoint Online of Microsoft 365 getroffen?

Nee. De kwetsbaarheid treft uitsluitend on-premises SharePoint Server, specifiek Subscription Edition, 2019 en Enterprise Server 2016. Het door Microsoft gehoste SharePoint Online wordt door Microsoft gepatcht en valt buiten de scope.

Moet ik echt de machine keys roteren na het patchen?

Als je server aan het internet stond voordat je de fix toepaste, ja. Aanvallers die code-uitvoering bereikten, kunnen ASP.NET machine keys stelen en hergebruiken om na het patchen opnieuw toegang te krijgen, dus CISA adviseert om als onderdeel van de remediatie de IIS machine keys te roteren en IIS opnieuw te starten.

Moet de aanvaller geauthenticeerd zijn?

Ja, minimaal als Site Owner. Dat is een lagere drempel dan het klinkt bij een grote uitrol met veel site-eigenaren, en gecombineerd met de lage aanvalscomplexiteit en het netwerkbereik levert het toch een score van 9.8 op.

Sources

Waqas Ahmed Waseer

Waqas Ahmed Waseer

Waqas Ahmed Waseer is ontwikkelaar en automation-builder met meer dan 8 jaar ervaring in het bouwen van productiesystemen die door 100.000+ mensen worden gebruikt. Hij bouwt custom multi-tenant SaaS, AI-automatisering (n8n, LLM-workflows, WhatsApp-bots) en hostinginfrastructuur (WHM/cPanel, CloudLinux) — en is de maker van WaSphere, FlowMaticX en het hostingmerk WaseerHost. 100+ projecten opgeleverd voor mkb, bureaus en gefinancierde startups.

Gerelateerd

Meer in Cybersecurity

Bekijk alles

Discussie · 0

Wees vriendelijk. Reacties zijn openbaar.

    Nieuwsbrief · Maandageditie

    De maandagbriefing.

    Eén e-mail elke maandagochtend. De week vooruit in AI, startups, hosting en devtools — geen onzin, geen gesponsorde lokkertjes.

    Gratis. Met één klik uitschrijven.