SharePoint ist seit Januar von einer kritischen Schwachstelle betroffen, die die Ausführung von Schadcode ermöglicht. Assigner Microsoft gibt an, dass die Schwachstelle nicht ausgenutzt wurde, doch CISA und ENISA behaupten das Gegenteil.
Cyberangreifer senden manipulierte serialisierte Daten an SharePoint. Diese werden ohne Typprüfung deserialisiert, was die Ausführung von Schadcode auslöst.
(Bild: Dall-E / KI-generiert)
Eine Sicherheitslücke, die Microsoft bereits im Januar 2026 gepatcht hat, hat nun die CISA auf den Plan gerufen. Dabei handelt es sich um die RCE-Schwachstelle (Remote Code Execution) EUVD-2026-2114 / CVE-2026-20963 (CVSS-Score 8.8, EPSS-Score* 7.10) in SharePoint. Die Schwachstelle beruht auf einer unsicheren Deserialisierung von benutzergesteuerten Daten, weswegen SharePoint serialisierte Daten akzeptiert und diese in Anwendungsobjekte umwandelt, ohne die zulässigen Objekttypen zu beschränken. Dadurch können Angreifer Schadcode erstellen, der unbeabsichtigte Codeausführungspfade auslöst.
Diese konkreten Produkte und Versionen sind anfällig:
Microsoft SharePoint Server 2019 in Version 16.0.0 <16.0.10417.20083
Microsoft SharePoint Server Subscription Edition in Version 16.0.0 <16.0.19127.20442
Microsoft SharePoint Enterprise Server 2016 in Version 16.0.0 <16.0.5535.1001
Am 17. März hat Microsoft seinen Sicherheitshinweis zu der Schwachstelle aktualisiert und vergibt einen CVSS-Score von 9.8. Allerdings schreibt der Hersteller nach wie vor, dass es keine Ausnutzung gibt.
Securityboulevard hat die Sicherheitslücke analysiert. Die Ausnutzung von EUVD-2026-2114 / CVE-2026-20963 beginne, sobald ein Angreifer mit einem SharePoint-Endpunkt interagiere, der serialisierte Eingaben verarbeitet. In beobachteten Angriffsszenarien sei die Einstiegshürde niedrig, da ein einfacher authentifizierter Zugriff genüge, um Schadcode einzuschleusen.
Die Angreifer würden der Analyse nach sogenannte Gadget Chains ausnutzen. Dabei handelt es sich um vordefinierte Framework-Klassen, die, wenn sie während der Deserialisierung in einer bestimmten Reihenfolge kombiniert werden, die Ausführung beliebigen Codes ermöglichen. Da diese Ausführung im Rahmen der normalen Datenverarbeitung der Anwendung erfolge, greife die Standardmechanismen zur Eingabevalidierung nicht ein. Dies mache die Schwachstelle sowohl ausnutzbar als auch schwer zu erkennen. „Unternehmen sollten davon ausgehen, dass jede ungeschützte oder ungepatchte SharePoint-Instanz aktiv angegriffen wird“, heißt es in der Analyse.
Eine Ausnutzung von EUVD-2026-2114 / CVE-2026-20963 sei besonders schwer zu erkennen, da die Ausführung im normalen Anwendungsablauf erfolge. Es gibt laut Securityboulevard keine offensichtliche Exploit-Signatur, keinen direkten Aufruf verdächtigen Codes und keine fehlerhafte Eingabe im herkömmlichen Sinne. Die Schadsoftware werde als gültige strukturierte Daten verarbeitet, und Standardmechanismen zur Eingabevalidierung würden die Bedrohung nicht erkennen, da das Risiko in der Interpretation der Daten liege, nicht nur in ihrem Inhalt.
Die Schwachstelle sei besonders gefährlich, da sie nicht nur eine einzelne Komponente betreffe, sondern ein Einfallstor in den Kern der Unternehmensprozesse öffne. Die effektivste Gegenmaßnahme ist der Patch von Microsoft.
Eine Erkennung erfordert Securityboulevard zufogle einen mehrschichtigen Ansatz, da der Angriff keine eindeutigen oder isolierten Indikatoren erzeuge. Da die Nutzdaten als gültige Anwendungsdaten verarbeitet würden, sei die herkömmliche signaturbasierte Erkennung oft unzureichend. Die Analysten empfehlen Sicherheitsteams, auf Anwendungsebene eingehende Anfragen sorgfältig auf Anomalien in serialisierten Daten zu untersuchen. Dazu würden ungewöhnlich strukturierte Nutzdaten, unerwartete Parameterformate oder Anfragemuster gehören, die mit bekannten Verhaltensweisen der .NET-Gadget-Kette übereinstimmen würden. Wiederholter Zugriff auf Endpunkte, die für die Verarbeitung serialisierter Eingaben zuständig sind, sollte ebenfalls als potenzielles Signal für einen Angriff betrachtet werden.
Auf Systemebene sei zu beachten, dass der SharePoint-Workerprozess (w3wp.exe) normalerweise keine untergeordneten Prozesse wie Befehlszeilenprogramme oder PowerShell starten sollte. Jede derartige Aktivität sei ein starkes Indiz für eine Kompromittierung. Protokolle zur Prozesserstellung, insbesondere die Windows-Ereignis-ID 4688, würden Einblicke in ungewöhnliche Ausführungsmuster geben, die von SharePoint ausgehen.
Auch das Netzwerkverhalten stelle eine weitere Erkennungsebene dar. Ausgehende Verbindungen von SharePoint-Servern zu unbekannten oder nicht vertrauenswürdigen externen Hosts sollten umgehend untersucht werden. Abweichungen von erwarteten Kommunikationsmustern würden häufig auf Command-and-Control-Aktivitäten oder Datenexfiltrationsversuche hindeuten. SharePoint-ULS-Protokolle würden dabei eine entscheidende Rolle spielen. Die Überprüfung dieser Protokolle auf Unregelmäßigkeiten in der Anfrageverarbeitung, im Ausführungsablauf oder auf unerwartete Fehler könne helfen, Abweichungen im Deserialisierungsverhalten von normalen Mustern zu identifizieren. Die zuverlässigste Erkennung erfolge durch die Korrelation dieser Signale, indem verdächtige Anfragen mit Prozessaktivitäten und Netzwerkverhalten verknüpft würden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/84/3584337f6e823e3ab1d8c47935d9449a/0130155465v2.jpeg "Die CISA warnt vor zwei aktiv ausgenutzten Schwachstellen im Wing FTP Server: EUVD-2025-21020 / CVE-2025-47813, die es Angreifern ermöglicht, den lokalen Installationspfad der Anwendung zu ermitteln, und die kritische EUVD-2025-21009 / CVE-2025-47812, die zu Remote Code Execution führen kann. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/f0/65f067d7776760cc99353d4c909ba33f/0130020244v2.jpeg "Cyberresilienz bedeuet Investition, aber sie lohnt. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/48/e948d1d169f29fad295c01735c6f6190/0130348171v2.jpeg "Cyberangreifer senden manipulierte serialisierte Daten an SharePoint. Diese werden ohne Typprüfung deserialisiert, was die Ausführung von Schadcode auslöst. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/6f/c26f8917d9577d3647ac2b27106397d3/0130217833v2.jpeg "Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungeschützt. SAP-Systeme, das Herzstück kritischer Geschäftsprozesse, werden bei Penetrationstests häufig übersehen – ein fatales Versäumnis, das Angreifern Tür und Tor öffnet. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/05/6b057f7347f9d5c97d474ade1d7b8a1f/0129674349v2.jpeg "Cyberkriminelle missbrauchen laut Sophos virtuelle Maschinen in legitimen Hosting-Infrastrukturen, nutzen identische Hostnamen und automatisierte Angriffe über RDP, während sie Verbindungen zu verdächtigen Hosting-Anbietern aufweisen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/1c/841c9f1c9ed65f5abb2cf89723d5084a/0130219449v2.jpeg "Quantencomputer können asymmetrische Verschlüsselung knacken. Post-Quanten-Kryptografie bietet Schutz mit NIST-Standards wie ML-KEM, ML-DSA und SLH-DSA. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/be/76be41bcde463802c9329eded5d45c6f/0130237353v1.jpeg "Identitätssysteme wie Entra ID kontrollieren den Zugang zu kritischen Flughafen-Systemen. Ein Ausfall legt den gesamten Betrieb lahm. (Bild: © WICHAI – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/ed/91edba400b970f6d4935efa4b47a129e/0128319394v2.jpeg "Microsoft-Produkte wie Windows, Azure, Office, Dynamics Visual Studio und viele mehr werden ausgemustert oder werden auf erweiterten Support umgestellt oder erhalten gar keinen Support mehr. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ebe7bae1c8880d95e733e544a93e/0125744786v2.jpeg "Die Schwachstelle CVE-2025-53770 gilt als hochgefährlich, da sie bereits weltweit von Angreifern ausgenutzt wird und SharePoint-Server in Behörden, Unternehmen und kritischen Infrastrukturen kompromittierbar macht. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/35/84/3584337f6e823e3ab1d8c47935d9449a/0130155465v2.jpeg "Die CISA warnt vor zwei aktiv ausgenutzten Schwachstellen im Wing FTP Server: EUVD-2025-21020 / CVE-2025-47813, die es Angreifern ermöglicht, den lokalen Installationspfad der Anwendung zu ermitteln, und die kritische EUVD-2025-21009 / CVE-2025-47812, die zu Remote Code Execution führen kann. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/eb/7feb9571c432ebe650d9687284f166bf/0130310687v2.jpeg "Ein nicht authentifizierter Angreifer kann ein präpariertes serialisiertes Javaobjekt an die webbasierte Verwaltungsoberfläche eines verwundbaren Cisco Secure FMC senden, das dort unsicher deserialisiert wird und beliebigen Javacode mit Rootrechten ausführt. (©cendhika - stock.adobe.com)")