SharePoint kwetsbaarheid CVE-2026-45659 actief misbruikt
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) meldt dat een remote-code execution-kwetsbaarheid in Microsoft SharePoint Server, aangeduid als CVE-2026-45659, actief wordt misbruikt. De kwetsbaarheid ontstaat wanneer SharePoint niet-vertrouwde data verwerkt via deserialization, waardoor een aanvaller die al is aangemeld willekeurige code op de server kan uitvoeren. Omdat het lek ook kan worden misbruikt door gebruikers met standaardrechten, is de kans op misbruik groot.
Wat is CVE-2026-45659?
CVE-2026-45659 is een deserialization-kwetsbaarheid. Wanneer SharePoint data van een ingelogde gebruiker ontvangt en die zonder juiste validatie omzet naar een object, kan een aanvaller inhoud injecteren waardoor de server deze code uitvoert. Voor dit type lek zijn geen beheerdersrechten nodig; elk account met Site Member-rechten of hoger kan het misbruiken. Microsoft verhielp het probleem in de update van mei 2026 voor SharePoint Server Subscription Edition, SharePoint Server 2019 en SharePoint Enterprise Server 2016.
Bewijs van actieve aanvallen
Het beveiligingsteam van Microsoft bevestigt dat aanvallers CVE-2026-45659 gebruiken in netwerkgerichte aanvallen op SharePoint-omgevingen. De exacte methoden en motieven zijn nog onbekend, maar het vastgestelde misbruik toont aan dat het lek reëel is. Omdat geen verhoogde rechten nodig zijn, is de potentiële impact groot.
Een afzonderlijk onderzoek van Microsoft toont aan dat twee verschillende dreigingsactoren tegelijk actief zijn in dezelfde omgeving. De eerste groep, gelinkt aan de Storm-2603-ransomwarecampagne, kreeg aanvankelijk toegang via een ander lek, CVE-2025-11371 in Gladinet Triofox. Daarmee konden ze configuratiebestanden zoals win.ini en web.config opzoeken. Na de inbraak zette Storm-2603 tools als Velociraptor in en richtte meerdere remote-toegangskanalen in (Cloudflare-tunneling, Zoho Assist, SSH via Visual Studio Code) terwijl nieuwe lokale en domeinbeheeraccounts werden aangemaakt.
De tweede actor gebruikte DLL-side-loading en aangepaste backdoors om kwaadaardige activiteiten te verbergen binnen legitieme beheertaken. Beide actoren misbruikten dezelfde SharePoint-server, deelden persistentiemechanismen en bewogen lateraal naar een tweede organisatie die eveneens door Storm-2603-ransomware was getroffen. Deze overlap bemoeilijkte de attributie voor beveiligingsanalisten.
Gevolgen voor securityteams
De combinatie van een eenvoudig te misbruiken SharePoint-lek en meerdere samenwerkende dreigingsactoren laat zien hoe één kwetsbaarheid kan uitgroeien tot een breed, onopgemerkt offensief. Organisaties die SharePoint gebruiken moeten controleren of hun servers volledig zijn bijgewerkt, het principe van least privilege afdwingen en letten op signalen zoals ongebruikelijke bestandslezingen of nieuwe beheerdersaccounts.