SharePoint-Lücke CVE-2026-20963: CISA warnt vor aktivem Exploit
20.06.2026 - 16:54:02 | boerse-global.de
Die US-amerikanische Cybersicherheitsbehörde CISA hat eine dringende Warnung herausgegeben: Eine kritische Schwachstelle in Microsoft SharePoint wird aktiv von Angreifern ausgenutzt. Der Fehler mit der Kennung CVE-2026-20963 erlaubt es nicht privilegierten Angreifern, aus der Ferne Code auf ungepatchten Servern auszuführen.
Am heutigen Samstag, dem 20. Juni 2026, nahm die Behörde die Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Für Bundesbehörden gilt nun eine strikte Frist zur Sicherung ihrer SharePoint-Umgebungen. Die Gefahr eines unbefugten Systemzugriffs sei erheblich, so die Einschätzung der Experten.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book zur Cyber Security jetzt herunterladen
Alte SharePoint-Lücken bleiben ungepatcht
Doch nicht nur die neue Schwachstelle bereitet Sorgen. Aktuelle Branchenberichte zeigen: Über 1.300 internetverbundene SharePoint-Server sind noch immer anfällig für einen älteren Spoofing-Exploit. Die Schwachstelle CVE-2026-32201 beruht auf unzureichender Eingabevalidierung und ermöglicht Angreifern Spoofing-Angriffe im Netzwerk.
Das Problem: Obwohl Microsoft den Fehler bereits im April 2026 mit einem Patch behoben hat, wurde eine erhebliche Zahl von Servern nicht aktualisiert. Die Sicherheitsforscher stufen die Lücke als wenig komplex ein – ein Benutzereingriff ist nicht erforderlich. Besonders brisant: Der Exploit wurde bereits als Zero-Day-Schwachstelle genutzt.
RoguePlanet: Neue Gefahr für Microsoft Defender
Auch Microsofts eigenes Sicherheitsökosystem steht unter Druck. Eine noch ungepatchte Schwachstelle im Microsoft Malware Protection Engine (MsMpEng) sorgt für Unruhe. Der als RoguePlanet (CVE-2026-50656) bekannte Fehler ist eine sogenannte TOCTOU-Race-Condition – ein Wettlauf zwischen Zustandsprüfung und Nutzung.
Ein Proof-of-Concept-Exploit wurde bereits am 10. Juni veröffentlicht. Bislang gibt es keinen Patch, und selbst die Deaktivierung von Microsoft Defender bietet keinen Schutz. Der Fehler erlaubt es einem lokal authentifizierten Benutzer, seine Rechte auf SYSTEM-Ebene auszuweiten. Es ist bereits der vierte derartige Fund des Forschers mit dem Pseudonym Nightmare Eclipse seit März 2026.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Report sichern
Datenabfluss durch Copilot-Suche möglich
Eine weitere Sicherheitslücke betrifft Microsoft 365 Copilot Enterprise Search. Das Sicherheitsunternehmen Varonis enthüllte am 19. Juni die Schwachstelle SearchLeak (CVE-2026-42824) . Die Angriffskette war komplex: Sie umfasste Parameter-to-Prompt-Injection, eine Rendering-Race-Condition und Server-Side Request Forgery (SSRF) über die Bing-Bildersuche.
Ein Angreifer hätte über einen speziell präparierten Link sensible Daten abgreifen können – darunter E-Mails, Kalendereinträge, Dateien und sogar Multi-Faktor-Authentifizierungscodes. Microsoft hat inzwischen einen Patch bereitgestellt.
Neue Taktiken der Erpresserbanden
Die Bedrohungslandschaft entwickelt sich rasant weiter. Die Ransomware-Gruppe DragonForce setzt nun auf Social Engineering über Microsoft Teams. Die Masche: Die Angreifer überschütten ihre Opfer zunächst mit Spam-Mails, um sie dann über Teams zu kontaktieren – getarnt als IT-Support. Ziel ist die Installation von Fernzugriffssoftware.
Parallel dazu warnt CISA vor massivem Credential-Angriffen. Nach einem Leak von Konfigurationsdaten aus rund 74.000 Fortinet-Firewalls und VPN-Gateways (bekannt als FortiBleed) versucht eine mit Russland in Verbindung stehende Gruppe, über 1,1 Milliarden Credential-Stuffing-Angriffe gegen Hunderttausende Ziele. Die Behörde ordnete eine sofortige Rück setzung aller Passwörter und die verpflichtende Aktivierung der Multi-Faktor-Authentifizierung für betroffene Systeme an.
