image

Microsoft meldt alsnog actief misbruik van kritiek SharePoint-lek

vrijdag 17 juli 2026, 09:47 door Redactie, 1 reacties

Een kritieke kwetsbaarheid in Microsoft SharePoint waardoor aanvallers SharePoint-servers op afstand kunnen overnemen is toch wel actief bij aanvallen misbruikt voordat een beveiligingsupdate beschikbaar was. Dat heeft Microsoft alsnog laten weten en is ook door het Amerikaanse cyberagentschap CISA bevestigd. Organisaties gebruiken SharePoint voor allerlei werkprocessen, zoals het delen van documenten en informatie en opzetten van interne websites.

Tijdens de patchdinsdag van juli kwam Microsoft met updates voor verschillende kwetsbaarheden in SharePoint. Ook maakte het bedrijf het bestaan van CVE-2026-58644 bekend. Voor dit lek was al in juni een update uitgebracht, maar de kwetsbaarheid was niet tijdens de patchdinsdag van juni genoemd. Het beveiligingslek wordt omschreven als 'deserialization of untrusted data' waardoor een geauthenticeerde aanvaller met minimaal Site Owner-rechten code op de SharePoint-server kan injecteren en uitvoeren. Het beveiligingslek heeft een CVSS-impactscore van 9.8 op een schaal van 1 tot en met 10.

In het beveiligingsbulletin over de update stelde Microsoft in eerste instantie dat er geen misbruik van het beveiligingslek werd gemaakt. Microsoft meldt altijd of het met actief misbruik bekend is. Dit is een belangrijk kenmerk en overheidsdiensten en experts adviseren om actief aangevallen kwetsbaarheden als eerste te patchen. Nu laat Microsoft weten dat de vermelding bij CVE-2026-58644 niet correct was en aanvallers het lek al voor het uitkomen van de patch bij aanvallen misbruikten. Details over de aanvallen zijn niet gegeven.

Het Amerikaanse cyberagentschap riep organisaties dinsdag op om hun SharePoint-servers extra te beveiligen, waarbij het melding maakte van drie actief misbruikte SharePoint-lekken (CVE-2026-32201, CVE-2026-45659, en CVE-2026-56164). Hoewel misbruik op dat moment nog niet bekend was, vroeg het CISA ook extra aandacht voor CVE-2026-58644, omdat via dit lek remote code execution mogelijk is. Nu misbruik van CVE-2026-58644 alsnog door Microsoft is bevestigd heeft ook het CISA het advies aangepast en opgeroepen om de update voor CVE-2026-58644 zo snel mogelijk te installeren. Amerikaanse overheidsinstanties zijn verplicht dit binnen drie dagen te doen.

Reacties (1)
Vandaag, 10:25 door Anoniem
Deze kwetsbaarheid was afgelopen dinsdag pas gepubliceerd, maar vorige maand (juni) al gepatched. Of zoals Microsoft het beschreef: "The Patch for this issue was released but the CVE was inadvertently left out of the Patch Tuesday June 2026 release"
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.