Itdaily - CISA waarschuwt voor actieve SharePoint-exploits en adviseert strengere beveiliging

CISA waarschuwt voor actieve SharePoint-exploits en adviseert strengere beveiliging

CISA waarschuwt voor actieve SharePoint-exploits en adviseert strengere beveiliging

De Amerikaanse cybersecuritydienst CISA meldt actieve exploitatie van meerdere kwetsbaarheden in on-premises SharePoint Server.

Volgens CISA maken cyberdreigingsactoren misbruik van kwetsbaarheden in alle ondersteunde versies van SharePoint Server, waaronder Subscription Edition, 2019 en 2016. De beveiligingslekken worden aangeduid als CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164. Aanvallers maken gebruik van deze kwetsbaarheden om authenticatie te omzeilen, remote code execution uit te voeren, IIS-machinesleutels stelen en persistente toegang op te zetten door malware te installeren. Organisaties krijgen het advies hun systemen direct te patchen en extra beveiligingsmaatregelen te nemen om ongeautoriseerde toegang en malware te voorkomen.

Twee nieuwe CVE’s

Naast de reeds misbruikte kwetsbaarheden zijn er recent twee nieuwe CVE’s (CVE-2026-55040 en CVE-2026-58644) bekendgemaakt die nog niet actief worden uitgebuit, maar volgens Microsoft een aanzienlijk risico vormen indien ze niet tijdig worden gepatcht. Het advies luidt om alle beveiligingsupdates zo snel mogelijk te installeren en de patchcyclus te verkorten waar mogelijk.

Beveiligingsmaatregelen

CISA adviseert om de Antimalware Scan Interface (AMSI)-integratie in te schakelen voor iedere SharePoint-webapplicatie. Organisaties moeten controleren of deze integratie correct geconfigureerd is, bij voorkeur met de modus ‘Full Mode’ voor bodyscanning. Indien er aanwijzingen zijn voor een compromis, raadt CISA aan om specifieke AMSI- en Microsoft Defender Antivirus-detecties te gebruiken en het incidentresponsplan te activeren bij positieve detecties.

Voorbeelden van detecties zijn pogingen tot remote code execution en signalen van post-exploitatieactiviteiten waarbij gevoelige IIS-informatie wordt buitgemaakt. Het is belangrijk om verdachte webshells en afwijkend SharePoint-gedrag actief te monitoren met aangepaste loggingmechanismen.