SharePoint-Lücke CVE-2026-32201: 1.300 Server noch immer exponiert
01.07.2026 - 04:07:19 | boerse-global.de
Die als CVE-2026-32201 bekannte Schwachstelle erlaubt Angreifern, vertrauenswürdige Identitäten zu imitieren – ohne Benutzerinteraktion oder erhöhte Rechte.
Das Problem: Obwohl Microsoft bereits im Frühjahr 2026 korrigierende Patches veröffentlichte, sind nach aktuellen Erkenntnissen von Cybersicherheitsforschern noch immer mehr als 1.300 direkt aus dem Internet erreichbare SharePoint-Server ungeschützt. Die Lücke wurde zuvor als Zero-Day-Exploit aktiv ausgenutzt.
CISA stuft Risiko höher ein als Microsoft
Bemerkenswert ist die unterschiedliche Bewertung der Gefahr: Microsoft selbst vergab lediglich eine mittlere Schweregrad-Einstufung. Die US-amerikanische Cybersicherheitsbehörde CISA hingegen setzte die Schwachstelle auf ihre Liste der bekannten ausgenutzten Sicherheitslücken (KEV) und wies Bundesbehörden an, die Patches bis zum 28. April 2026 einzuspielen.
Doch die aktuellen Monitoring-Daten zeigen: Zahlreiche Server in privaten und öffentlichen Einrichtungen bleiben weiterhin exponiert. Besonders tückisch: Für einen Angriff sind keinerlei Authentifizierungsanforderungen nötig. Angreifer können Standard-Sicherheitsprotokolle umgehen, ohne dass ein einziger Klick eines Benutzers erforderlich wäre.
Zusätzliche Gefahr durch NTLM-Exploit
Die Sicherheitslage wird durch einen weiteren Angriffsvektor verschärft. Sicherheitsforscher von Synacktiv veröffentlichten Proof-of-Code für CVE-2026-24294 – eine NTLM-Reflection-Bypass-Lücke, die Windows Server 2025 betrifft. Microsoft hatte diesen Fehler zwar im März-Patchday behoben, doch die öffentlich zugängliche Exploit-Code macht die Verwundbarkeit nun für ein breiteres Angreiferspektrum nutzbar.
Noch immer sind über 1.300 SharePoint-Server ungepatcht – und die CVE-2026-32201 wird aktiv ausgenutzt. Mit unserer Checkliste prüfen Sie in Minuten, ob Ihre Installation betroffen ist, und erhalten konkrete Abwehrmaßnahmen. Kostenlose Sicherheits-Checkliste anfordern
Der Angriff nutzt das Server Message Block (SMB)-Protokoll über beliebige TCP-Ports, um hohe Systemzugriffsrechte zu erlangen. Allerdings: Auf Systemen mit streng durchgesetzter SMB-Signierung ist die Effektivität des Exploits begrenzt.
AWS zieht Konsequenzen – SharePoint-Integration läuft aus
Parallel zu den Sicherheitsentwicklungen verändert sich die Integrationslandschaft für SharePoint. Amazon Web Services aktualisierte die Dokumentation zu seinem Amazon Q Business Connector, der durch Crawlen von SharePoint-Online-Zugriffssteuerungslisten (ACLs) chatbasierte Informationsabfragen ermöglicht.
Die entscheidende Änderung: Ab dem 31. Juli 2026 nimmt Amazon Q Business keine neuen Kunden mehr an. Bestandskunden können den Dienst und den SharePoint-Connector bis zu diesem Datum weiter nutzen. Der Connector verwendet derzeit SHA256-Hashing von Site- und Gruppennamen zur Berechnung von Gruppen-IDs – eine Methode, die sicherstellt, dass Chat-Antworten entsprechend den spezifischen Benutzerberechtigungen gefiltert werden.
Branchenexperten warnen vor nachlassender Patch-Disziplin
Zero-Day-Exploit ohne Benutzerinteraktion – betrifft das Ihr Unternehmen? Die kostenlose Checkliste zeigt Ihnen in drei Schritten, wie Sie den Patch-Status prüfen, NTLM-Reflection-Angriffe abwehren und SMB-Signierung durchsetzen. Checkliste per E-Mail sichern
Die aktuellen Vorfälle reihen sich in einen besorgniserregenden Trend ein. Auch andere hochkarätige Schwachstellen – etwa in Oracle E-Business Suite oder der SimpleHelp-Remote-Management-Software – wurden zuletzt gezielt ausgenutzt. Angreifer fokussieren sich zunehmend auf ungeschützte Remote-Zugangspunkte, um in Unternehmensnetzwerke einzudringen.
Für Unternehmen bedeutet das: Die Überprüfung der SharePoint-Installationen auf den April-2026-Patchstand ist überfällig. Ebenso sollten Administrator-Logs auf unautorisierte Sitzungsaktivitäten durchsucht werden. Denn eines zeigt der aktuelle Fall deutlich: Die Lücke zwischen Patch-Veröffentlichung und tatsächlicher Installation bleibt das Einfallstor Nummer eins für Cyberangriffe.
