Microsoft SharePoint Server heeft een kritiek remote-code-execution-lek, CVE-2026-58644, dat een CVSS-score van 9.8 draagt en al actief wordt misbruikt. Microsoft dichtte het in de Patch Tuesday-release van July 14 en herzag daarna stilletjes het bulletin om toe te geven dat het lek al als zeroday tot wapen was gemaakt voordat er een fix bestond. CISA voegde het op July 17 toe aan zijn Known Exploited Vulnerabilities-catalogus en gaf federale instanties tot July 19 om te patchen. Draai je SharePoint on-premises en staat het aan het internet, behandel dit dan als een noodgeval, en besef dat het installeren van de patch pas de helft van het werk is.
Wat is CVE-2026-58644?
CVE-2026-58644 is een kwetsbaarheid door deserialisatie van niet-vertrouwde data in on-premises SharePoint Server. Een aanvaller die is geauthenticeerd met minimaal Site Owner-rechten kan over het netwerk willekeurige code op de server schrijven en uitvoeren, en daarom beoordeelt Microsoft het met 9.8 bij lage aanvalscomplexiteit. Het is op afstand misbruikbaar via het internet, en de rol van Site Owner is geen hoge drempel op een groot intranet waar honderden medewerkers eigenaar van een site kunnen zijn.
Het lek treft de ondersteunde on-premises builds: SharePoint Server Subscription Edition, SharePoint Server 2019 en SharePoint Enterprise Server 2016. SharePoint Online in Microsoft 365 is niet getroffen, omdat Microsoft zijn eigen gehoste omgeving patcht. Dit is strikt een probleem van zelf-gehoste systemen, en het valt op dezelfde on-prem servers die het afgelopen jaar een meedogenloze reeks kritieke bugs hebben moeten opvangen.
Waarom dit een "nu patchen"-noodgeval is
Drie feiten duwen CVE-2026-58644 bovenaan de wachtrij. Ten eerste werd het als zeroday misbruikt: aanvallers hadden werkende code voordat verdedigers een patch hadden, dus elke blootgestelde server kan al gecompromitteerd zijn. Ten tweede handelde CISA snel en voegde het op July 17 toe aan de KEV-catalogus met een remediatiedeadline van July 19 voor federale instanties. Een federaal venster van twee dagen is ongewoon kort en signaleert dat het misbruik reëel is en zich uitbreidt. Ten derde is het niet het enige SharePoint-lek dat op dit moment actief wordt aangevallen.
De waarschuwing van CISA wijst op een cluster van misbruikte SharePoint-bugs, met CVE-2026-58644 naast CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164. On-premises SharePoint is een geliefd doelwit geworden omdat het aan het internet staat, gevoelige documenten bevat en vaak achterloopt met patches. Dit is hetzelfde patroon dat schuilgaat achter andere internetgerichte RCE's die we dit jaar hebben behandeld, van het pre-auth-lek in Progress KEMP LoadMaster tot een Patch Tuesday in juni die zes afzonderlijke zerodays uitbracht.
Alleen patchen zal je niet redden
Hier komt het deel dat de meeste berichtgeving overslaat. Bij een SharePoint-deserialisatielek sluit het toepassen van de update wel de deur, maar zet het niemand buiten die al binnen is. De "ToolShell"-campagne van 2025 leerde verdedigers een harde les: zodra een aanvaller code-uitvoering op SharePoint bereikt, oogst hij de ASP.NET machine keys van de server, en met die sleutels kan hij ondertekende __VIEWSTATE-payloads vervalsen om weer binnen te wandelen, zelfs nadat de server volledig is gepatcht. Een patch roteert geen gestolen sleutel.
Dat is precies waarom de hardeningsrichtlijn van CISA veel verder gaat dan "installeer de update". De instantie draagt SharePoint-beheerders op om AMSI-integratie in te schakelen, de IIS machine keys te roteren en te jagen op tools voor het oogsten van machine keys en andere inbraaksporen en die te verwijderen voordat ze het incident als gesloten beschouwen. Als je server in de dagen vóór het patchen aan het internet stond, moet je ervan uitgaan dat de sleutels mogelijk zijn buitgemaakt, ze roteren en daarna IIS opnieuw starten zodat de wijziging van kracht wordt.
Je remediatie-checklist
Werk van boven naar beneden. Stop niet bij stap één.
| Prioriteit | Actie | Waarom het telt |
|---|---|---|
| 1 | Pas de SharePoint-updates van July 2026 toe op elke on-prem server | Sluit CVE-2026-58644 en de gerelateerde misbruikte CVE's |
| 2 | Schakel AMSI in Full Mode in en bevestig dat Defender/AV aan staat | Blokkeert veel web-shell- en deserialisatie-payloads tijdens runtime |
| 3 | Roteer de IIS machine keys en start daarna IIS opnieuw | Maakt alle sleutels ongeldig die een aanvaller al gestolen kan hebben |
| 4 | Jaag op web shells, key-harvesting-tools en vreemde w3wp.exe-kindprocessen | Een gepatchte machine kan nog steeds een gecompromitteerde machine zijn |
| 5 | Haal SharePoint van het openbare internet of zet het achter een VPN-/ZTNA-gateway | Verwijdert de blootstelling die het op afstand misbruikbaar maakt |
| 6 | Beperk de toegang tot Central Administration en zet gerichte logging aan | Beperkt de schaderadius en geeft je bewijs als je wordt geraakt |
Als SharePoint niet naar het openbare internet gericht hoeft te zijn, is de schoonste oplossing om het helemaal niet meer bloot te stellen. Hetzelfde principe geldt voor elke zelf-gehoste dienst die je draait; het is het eerste dat de moeite waard is om te vergrendelen wanneer je het veilige eerste uur van een nieuwe server inricht.
Het grotere plaatje
CVE-2026-58644 arriveerde binnen een van de grootste Patch Tuesdays ooit van Microsoft, en on-premises SharePoint blijft kwartaal na kwartaal kritieke, actief misbruikte RCE's produceren. Voor veel organisaties luidt de eerlijke vraag niet langer "hoe snel kunnen we deze patchen", maar "waarom is deze documentserver überhaupt nog bereikbaar vanaf het open internet". Patchen is hier verplicht en urgent. Het verkleinen van het aanvalsoppervlak, zodat de volgende SharePoint-zeroday geen internetgerichte crisis wordt, is de winst op de lange termijn.
Veelgestelde vragen
Wordt CVE-2026-58644 actief misbruikt?
Ja. Microsoft bevestigde misbruik in het wild en herzag zijn waarschuwing om het lek als zeroday te markeren, en CISA voegde het op July 17, 2026 toe aan de Known Exploited Vulnerabilities-catalogus met een federale patchdeadline van July 19.
Zijn SharePoint Online of Microsoft 365 getroffen?
Nee. De kwetsbaarheid treft uitsluitend on-premises SharePoint Server, specifiek Subscription Edition, 2019 en Enterprise Server 2016. Het door Microsoft gehoste SharePoint Online wordt door Microsoft gepatcht en valt buiten de scope.
Moet ik echt de machine keys roteren na het patchen?
Als je server aan het internet stond voordat je de fix toepaste, ja. Aanvallers die code-uitvoering bereikten, kunnen ASP.NET machine keys stelen en hergebruiken om na het patchen opnieuw toegang te krijgen, dus CISA adviseert om als onderdeel van de remediatie de IIS machine keys te roteren en IIS opnieuw te starten.
Moet de aanvaller geauthenticeerd zijn?
Ja, minimaal als Site Owner. Dat is een lagere drempel dan het klinkt bij een grote uitrol met veel site-eigenaren, en gecombineerd met de lage aanvalscomplexiteit en het netwerkbereik levert het toch een score van 9.8 op.
Sources
- The Hacker News — CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV: CVSS 9.8, deserialisatie-RCE, actief zeroday-misbruik in het wild, KEV-opname op July 17 en de federale deadline van July 19, gerelateerde misbruikte CVE's.
- SecurityWeek — Fresh SharePoint Vulnerability Exploited Soon After Disclosure: vereiste van geauthenticeerde Site Owner, lage aanvalscomplexiteit, misbruik op afstand via het internet.
- CISA — Known Exploited Vulnerabilities Catalog: federale remediatiedeadline en SharePoint-hardeningsrichtlijn (AMSI, IIS machine keys roteren, key-harvesting-artefacten verwijderen, Central Administration beperken).
Waqas Ahmed Waseer
Waqas Ahmed Waseer is ontwikkelaar en automation-builder met meer dan 8 jaar ervaring in het bouwen van productiesystemen die door 100.000+ mensen worden gebruikt. Hij bouwt custom multi-tenant SaaS, AI-automatisering (n8n, LLM-workflows, WhatsApp-bots) en hostinginfrastructuur (WHM/cPanel, CloudLinux) — en is de maker van WaSphere, FlowMaticX en het hostingmerk WaseerHost. 100+ projecten opgeleverd voor mkb, bureaus en gefinancierde startups.



