Kai Ole Hartwig
10 Min. Lesezeit
Kritisch
Von

SharePoint CVE-2026-58644: Deserialisierung macht unauthentifizierte RCE möglich — jetzt in der CISA-KEV, Patch seit 14.07.

Am 14. Juli 2026 hat Microsoft im Rahmen des Juli-Patch-Tuesday CVE-2026-58644 geschlossen (CVSS 3.1: 9.8, Kritisch; CWE-502, Deserialisierung nicht vertrauenswürdiger Daten). Die Lücke steckt in Microsoft SharePoint Server und erlaubt einem unauthentifizierten Angreifer ohne Nutzerinteraktion Remote-Code-Ausführung über das Netzwerk — der klassische „wurmfähige“ Vulnerability-Typ. Bereits einen Tag nach dem Patch, am 15. Juli, bestätigte Microsoft aktive Ausnutzung in freier Wildbahn; CISA nahm die CVE kurz darauf in den Known-Exploited-Vulnerabilities-Katalog auf. Betroffen sind SharePoint Enterprise Server 2016, SharePoint Server 2019 und SharePoint Server Subscription Edition — jeweils unterhalb der gepatchten Build-Nummern. SharePoint Online (Microsoft 365) ist nicht betroffen. Diese Lücke ist zudem nicht isoliert: Aus demselben Patch-Batch stammen zwei weitere aktiv ausgenutzte Zero-Days, CVE-2026-56155 (AD FS, Privilege Escalation) und CVE-2026-56164 (SharePoint, moderat).

TL;DR — 90 Sekunden

Betroffen?

SharePoint Enterprise Server 2016 (x64) vor Build 16.0.5556.1005; SharePoint Server 2019 (x64) vor Build 16.0.10417.20153; SharePoint Server Subscription Edition (x64) vor Build 16.0.19725.20384. SharePoint Online (Microsoft 365) ist laut NVD-Produktliste nicht betroffen.

Risiko?

CVSS 3.1: 9.8 (Kritisch) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) erlaubt Remote-Code-Ausführung ohne Authentifizierung und ohne Nutzerinteraktion. Aktive Ausnutzung von Microsoft am 15.07.2026 bestätigt, CISA-KEV-Aufnahme am 16./17.07.2026.

Sofortmaßnahme?

Juli-2026-Sicherheitsupdate für Ihre SharePoint-Version über den offiziellen Microsoft-Update-Katalog bzw. das MSRC-Advisory zu CVE-2026-58644 einspielen. Danach AMSI-Integration je Web-Anwendung aktivieren und SharePoint-Farmen niemals direkt aus dem Internet erreichbar betreiben.

Empfehlung?

Bei extern erreichbaren Farmen: heute patchen, nicht im nächsten Wartungsfenster. US-Bundesbehörden (FCEB) mussten laut CISA-KEV-Eintrag bis zum 19.07.2026 remediieren — ein guter Anhaltspunkt für die Dringlichkeit auch außerhalb der USA.

Kritikalität?

kritisch — unauthentifizierte RCE, aktiv ausgenutzt, in der CISA-KEV, dritte Zero-Day aus demselben Patch-Batch.

Was ist das Problem?

CVE-2026-58644 ist eine Deserialisierungs-Schwachstelle (CWE-502, „Deserialization of Untrusted Data“) in Microsoft SharePoint Server. Bei diesem Fehlertyp verarbeitet die Anwendung serialisierte Objektdaten aus einer nicht vertrauenswürdigen Quelle, ohne deren Herkunft oder Struktur ausreichend zu prüfen — ein Angreifer kann speziell präparierte serialisierte Daten einschleusen, die beim Deserialisieren beliebigen Code im Kontext des SharePoint-Anwendungsprozesses zur Ausführung bringen.

Der CVSS-3.1-Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H zeigt das volle Ausmaß: Angriff über das Netzwerk (AV:N), geringe Angriffskomplexität (AC:L), keine Rechte nötig (PR:N), keine Nutzerinteraktion (UI:N), vollständiger Verlust von Vertraulichkeit, Integrität und Verfügbarkeit. In der Praxis bedeutet das: Ein Angreifer, der eine verwundbare SharePoint-Web-Anwendung im Netzwerk erreichen kann, benötigt weder ein Konto noch eine Interaktion eines Nutzers, um Code auf dem Server auszuführen.

Microsoft stufte die Lücke bei Erstveröffentlichung am 14. Juli 2026 zunächst als „Ausnutzung wahrscheinlicher“ ein und aktualisierte die Bewertung bereits am Folgetag auf bestätigte aktive Ausnutzung — ein Muster, das für SharePoint-Deserialisierungslücken seit dem ToolShell-Vorfall (CVE-2025-53770/-53771) im Jahr zuvor wiederholt zu beobachten war.

Wer ist betroffen?

BetroffenNicht betroffenBedingungen
SharePoint Enterprise Server 2016 (x64) vor Build 16.0.5556.1005SharePoint Online (Microsoft 365) — zentral von Microsoft betrieben, nicht in der NVD-Produktliste dieser CVE geführtAngreifer muss die SharePoint-Web-Anwendung über das Netzwerk erreichen können
SharePoint Server 2019 (x64) vor Build 16.0.10417.20153SharePoint-Farmen, die bereits auf die gepatchten Build-Nummern aktualisiert sindkeine Authentifizierung und keine Nutzerinteraktion erforderlich (PR:N, UI:N)
SharePoint Server Subscription Edition (x64) vor Build 16.0.19725.20384reine SharePoint-Foundation-Installationen ohne Netzwerkerreichbarkeit (verringertes, nicht ausgeschlossenes Risiko)besonders kritisch bei direkter Internet-Exposition oder fehlender Netzsegmentierung

Den exakten Build-Abgleich liefert (Get-SPFarm).BuildVersion in der SharePoint Management Shell oder die Server-Übersicht in der Zentraladministration unter „Server dieser Farm verwalten“.

Auswirkungen

Der Impact ist im Wortsinn maximal: CVSS 9.8 mit vollständigem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit bedeutet, dass ein erfolgreicher Angriff dem Angreifer effektiv die Kontrolle über den SharePoint-Anwendungsprozess gibt — mit Zugriff auf alle in der Farm gespeicherten Dokumente, Listen und Berechtigungsstrukturen, sowie die Möglichkeit, von dort aus lateral in angebundene Systeme vorzudringen (Active Directory-Anbindung, Datei-Shares, verknüpfte Dienste).

Besonders relevant für die Risikobewertung: Die Lücke ist bereits aktiv ausgenutzt, nicht nur theoretisch verwundbar. Microsofts eigene Neubewertung von „wahrscheinlich ausgenutzt“ zu „aktiv ausgenutzt“ innerhalb eines Tages zeigt, wie schnell sich die Lage bei einer frisch gepatchten, aber öffentlich referenzierten Schwachstelle entwickeln kann — Organisationen, die den Patch aufgrund der ursprünglichen Ersteinschätzung zurückgestellt hatten, saßen binnen 24 Stunden auf einer veralteten Risikoentscheidung.

Da SharePoint-Server in vielen Organisationen als zentraler Dokumenten- und Kollaborationsspeicher mit weitreichender AD-Integration betrieben wird, ist der Blast Radius eines erfolgreichen Angriffs typischerweise deutlich größer als bei einer isolierten Anwendungs-Kompromittierung.

Mitigation / Sofortmaßnahmen

Operativer Entscheidungsblock

Schritt 1 — Build-Version prüfen und patchen

 

# aktuelle Build-Version der Farm ermitteln (SharePoint Management Shell)
(Get-SPFarm).BuildVersion

# Zielwerte (gepatcht, Juli 2026):
# SharePoint Enterprise Server 2016:        16.0.5556.1005
# SharePoint Server 2019:                   16.0.10417.20153
# SharePoint Server Subscription Edition:    16.0.19725.20384

# das passende Sicherheitsupdate für Ihre Version und Sprache laden Sie
# ausschließlich über das offizielle MSRC-Advisory zu CVE-2026-58644:
# msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58644
# (dort ist die exakte Update-/KB-Zuordnung je Farm-Konfiguration hinterlegt —
#  wir nennen hier bewusst keine KB-Nummer, um keine falsche Zuordnung zu riskieren)

 

Schritt 2 — AMSI-Integration aktivieren

Microsoft nennt die Antimalware-Scan-Interface(AMSI)-Integration je Web-Anwendung als zusätzliche Mitigation, die bösartige POST-Requests erkennen und blockieren kann — unabhängig vom Patch-Stand. Details und die exakten Konfigurationsschritte je SharePoint-Version finden Sie in Microsofts „SharePoint Server security-hardening guidance“, verlinkt in den Quellen unten.

Schritt 3 — Exposition reduzieren

 

# Faustregel, unabhängig vom Patch-Stand:
# - SharePoint-Zentraladministration niemals aus dem Internet erreichbar machen
# - Web-Anwendungen nur über Reverse-Proxy/WAF mit eingeschränkten Pfaden exponieren
# - Netzsegmentierung zwischen SharePoint-Farm und übrigem internen Netz prüfen

Detection / Prüfung

Patch-Stand prüfen

 

# SharePoint Management Shell
(Get-SPFarm).BuildVersion

# alternativ: Zentraladministration → Systemeinstellungen →
# „Server dieser Farm verwalten“ → Build-Nummer je Server vergleichen

 

Logs auf Anomalien prüfen

Zu CVE-2026-58644 selbst waren zum Zeitpunkt dieses Beitrags keine öffentlich veröffentlichten Kompromittierungsindikatoren (IOCs) von Microsoft oder CISA verfügbar — die folgenden Prüfschritte sind generische, aus früheren SharePoint-Deserialisierungs-RCEs (etwa ToolShell, CVE-2025-53770/-53771) abgeleitete Best Practices, keine bestätigten Indikatoren für diese konkrete Lücke:

 

# IIS-/ULS-Logs auf ungewöhnliche POST-Requests seit dem 14.07.2026 prüfen,
# insbesondere von unerwarteten externen Quell-IPs
# ULS-Log-Verzeichnis (Standard):
# %ProgramFiles%\Common Files\microsoft shared\Web Server Extensions\16\LOGS

# unerwartete Kindprozesse des SharePoint-IIS-Worker-Prozesses (w3wp.exe)
# sind ein klassischer Post-Exploitation-Indikator bei .NET-Deserialisierungs-RCEs
Get-WinEvent -LogName 'Microsoft-Windows-Sysmon/Operational' | Where-Object { $_.Message -match 'w3wp.exe' }

# unerwartete neue oder veränderte Dateien im SharePoint-Web-Root/LAYOUTS-Verzeichnis prüfen
Get-ChildItem "$env:ProgramFiles\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS" -Recurse | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) }

 

Bei Auffälligkeiten: CISA und Microsoft empfehlen bei bereits erfolgter Ausnutzung generell die Rotation der IIS-/ASP.NET-Machine-Keys der Farm, da Deserialisierungs-Angriffe dieser Klasse in der SharePoint-Vergangenheit häufig auf gestohlenen Machine-Keys aufbauende Folgeangriffe ermöglicht haben — auch das ist Präzedenzwissen, keine bestätigte Aussage zu CVE-2026-58644 selbst.

Betreiberempfehlung

Mid-Market

Sofort patchen, nicht im nächsten Wartungsfenster — CVSS 9.8, bestätigte aktive Ausnutzung und CISA-KEV-Aufnahme rechtfertigen ein Notfall-Rollout außerhalb des regulären Zyklus, insbesondere bei extern erreichbaren Farmen.

Enterprise / Multi-Site

Zusätzlich zum Patch: AMSI-Integration je Web-Anwendung aktivieren, Netzwerk-Exposition der Farm reduzieren (keine direkte Internet-Erreichbarkeit der Zentraladministration), und Logs seit dem 14.07.2026 rückwirkend auf Anomalien prüfen. Bei Hinweisen auf Kompromittierung: Machine-Key-Rotation und forensische Analyse vor dem reinen Patchen priorisieren.

öffentliche Verwaltung / regulierte Branchen

US-Bundesbehörden (FCEB) mussten laut CISA-KEV-Eintrag bis zum 19.07.2026 remediieren — eine Frist von drei Tagen ab Aufnahme. Auch ohne direkte BSI-Meldepflicht ist dieser Zeitrahmen ein realistischer Maßstab für die Dringlichkeit bei jeder Organisation mit erhöhtem Schutzbedarf.

Entscheidungsblock

Heute handeln, wenn: SharePoint Server 2016/2019/Subscription Edition produktiv und netzwerkerreichbar auf ungepatchtem Stand läuft. Beobachten genügt, wenn: ausschließlich SharePoint Online genutzt wird oder die Farm bereits auf die gepatchte Build-Nummer aktualisiert und die Exposition minimiert ist.

Häufige Fragen zu CVE-2026-58644

Warum ist CVSS 9.8 hier gerechtfertigt, obwohl „nur“ Deserialisierung?+

Deserialisierungslücken in .NET-Webanwendungen wie SharePoint führen in der Praxis häufig direkt zu Code-Ausführung, nicht nur zu einem Absturz oder Datenleck — der Angreifer kontrolliert die deserialisierten Objekte und damit potenziell den Kontrollfluss der Anwendung. Kombiniert mit fehlender Authentifizierungsanforderung (PR:N) und fehlender Nutzerinteraktion (UI:N) ergibt sich der maximale Impact auf allen drei CIA-Achsen, den der Score widerspiegelt.

Gibt es öffentlich bekannte Kompromittierungsindikatoren (IOCs)?+

Zum Zeitpunkt dieses Beitrags waren in den von uns geprüften Quellen (MSRC, NVD, CISA, Tenable) keine spezifischen IOCs zu CVE-2026-58644 selbst veröffentlicht — anders als etwa beim ToolShell-Vorfall 2025, zu dem konkrete Webshell-Pfade bekannt wurden. Bis solche Indikatoren veröffentlicht werden, bleibt generische Log- und Prozess-Überwachung die praktikable Absicherung.

Was bedeutet die CISA-KEV-Aufnahme für Organisationen außerhalb der USA?+

Formal verpflichtet der KEV-Katalog nur US-Bundesbehörden (FCEB) zu einer Frist — hier bis 19.07.2026. Praktisch ist die Aufnahme aber ein verlässlicher, von CISA kuratierter Indikator dafür, dass eine Lücke nachweislich in freier Wildbahn ausgenutzt wird, unabhängig von Landesgrenzen. Der 3-Tage-Zeitrahmen ist ein guter Maßstab für die eigene Priorisierung.

Reicht der Patch, oder muss ich zusätzlich Machine-Keys rotieren?+

Der Patch schließt die Lücke für zukünftige Ausnutzung, sagt aber nichts darüber aus, ob Ihre Farm vor dem Einspielen bereits kompromittiert wurde. Ohne bestätigte Hinweise auf Kompromittierung ist Patchen plus Härtung (AMSI, reduzierte Exposition) ausreichend. Bei Anzeichen von Auffälligkeiten in Logs oder Dateisystem sollten Sie zusätzlich Machine-Keys rotieren und forensisch prüfen, bevor Sie die Farm als sauber betrachten.

Betrifft das auch SharePoint Online / Microsoft 365?+

Nach den in der NVD gelisteten betroffenen Produkten nein — die CVE betrifft ausschließlich On-Premises-Editionen (Enterprise Server 2016, Server 2019, Subscription Edition). SharePoint Online wird zentral von Microsoft betrieben und gepatcht und taucht in der Produktliste dieser CVE nicht auf.

Ist das dieselbe Lücke wie die anderen beiden Zero-Days vom Juli-Patch-Tuesday?+

Nein. Aus demselben Patch-Batch stammen drei separate, aktiv ausgenutzte Zero-Days: CVE-2026-56155 (AD FS, CVSS 7.8, Privilege Escalation zu Administratorrechten), CVE-2026-56164 (SharePoint, CVSS 5.3, moderat, durch AMSI mitigierbar) und CVE-2026-58644 (SharePoint, CVSS 9.8, unauthentifizierte RCE per Deserialisierung — das schwerwiegendste der drei und einzige mit KEV-Aufnahme laut unseren Quellen).

Fazit

CVE-2026-58644 ist keine akademische Übung: CVSS 9.8, unauthentifizierte RCE per Deserialisierung, bestätigt aktiv ausgenutzt binnen eines Tages nach Veröffentlichung, und mittlerweile in der CISA-KEV. Bemerkenswert ist auch der Kontext — es ist bereits die dritte aktiv ausgenutzte Zero-Day aus demselben Juli-Patch-Tuesday-Batch, neben CVE-2026-56155 (AD FS) und CVE-2026-56164 (SharePoint, moderat). Dass Microsoft die Ausnutzungs-Einschätzung innerhalb von 24 Stunden von „wahrscheinlich“ auf „aktiv“ änderte, ist eine deutliche Erinnerung: Erstbewertungen am Patch-Tuesday sind eine Momentaufnahme, keine endgültige Priorisierung — Re-Triage in den Tagen danach gehört zum Pflichtprogramm, nicht zur Kür. Und unabhängig vom Patch-Stand gilt weiterhin: SharePoint-Farmen gehören nicht direkt ans Internet.

Quellen

Ich prüfe Ihre SharePoint- und Windows-Server-Landschaft auf Patch-Stand und Exposition, härte Netzwerkzugriff und Logging, und begleite Sie bei Verdacht auf Kompromittierung durch forensische Erstmaßnahmen.

Build-Version-Check, AMSI-Aktivierung, Reduktion der Netzwerk-Exposition und Log-Rückschau seit dem Patch-Datum — für SharePoint ebenso wie für angrenzende On-Premises-Systeme.

Plattform-Betrieb statt Beratung auf Papier: Ich prüfe, patche und härte Ihre Infrastruktur laufend.

Termin buchen

Über den Autor

[Translate to English:] Foto von Kai Ole Hartwig.

Kai Ole Hartwig

Freelance DevSecOps consultant · OnlyOle Consulting

Programming since 2002 – self-taught, set up my own business with KO-Web in 2012. Over 100 projects, with a focus on security, performance, automation and quality. Today freelance: DevSecOps consulting, training and software development.