Close-up van servers met koelventilatoren in een datacenter.
Nieuws15 juli · 12:094 leestijd

CISA waarschuwt: patch actief misbruikte SharePoint-lekken in on-prem servers nu

CISA waarschuwt voor drie actief misbruikte lekken in zelf-gehoste SharePoint-servers. Aanvallers omzeilen de authenticatie, voeren code uit en stelen machinesleutels om na een patch binnen te blijven. Wat zelf-hostende organisaties nu moeten doen.

CISA waarschuwt beheerders om drie actief misbruikte lekken in zelf-gehoste SharePoint-servers meteen te patchen, omdat aanvallers de authenticatie kunnen omzeilen en op afstand code kunnen uitvoeren op systemen die rechtstreeks aan het internet hangen.

Juist organisaties die SharePoint bewust op eigen servers draaien, vaak om hun documenten binnen eigen muren te houden, zitten nu in de vuurlinie. Zelf hosten betekent dat de patchklok ook van jou is: er is geen cloudleverancier die het gat 's nachts voor je dicht. Draait er ergens een SharePoint-server aan het open internet zonder de update van deze week, ga er dan van uit dat scanners hem al hebben gezien.

Het officiële zegel van de Amerikaanse cyberwaakhond CISA, die de waarschuwing uitgaf. Bron: Cybersecurity and Infrastructure Security Agency / Wikimedia Commons (publiek domein)
Het officiële zegel van de Amerikaanse cyberwaakhond CISA, die de waarschuwing uitgaf. Bron: Cybersecurity and Infrastructure Security Agency / Wikimedia Commons (publiek domein)

Welke lekken het zijn

De Amerikaanse Cybersecurity and Infrastructure Security Agency zette drie SharePoint-lekken op haar lijst van actief misbruikte kwetsbaarheden: CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164. Ze raken alle ondersteunde zelf-gehoste versies, tot en met de nieuwste SharePoint Server Subscription Edition. Samen laten ze een aanvaller de authenticatie omzeilen, code uitvoeren en zich daarna nestelen.

Het zwaarste weegt CVE-2026-45659, een deserialisatie-lek met een CVSS-score van 8,8 dat Microsoft op 12 mei dichtte. De nieuwste, CVE-2026-56164, kreeg een misleidend milde score van 5,3, maar is zonder inloggegevens en zonder dat een gebruiker iets hoeft te doen op afstand te misbruiken en belandde op 14 juli op de lijst. Een score zegt hier dus weinig over de urgentie.

Hoe aanvallers binnenkomen

Achter CVE-2026-45659 zit de groep Storm-2603, die na binnenkomst Warlock-ransomware uitrolt en ASP.NET-machinesleutels steelt om zelfs na een patch toegang te houden. Dat laatste is het venijn: het lek dichten is niet genoeg als de sleutels al buiten liggen. Wie besmetting vermoedt, moet ook die machinesleutels roteren, anders blijft de achterdeur openstaan.

De schaal is aanzienlijk. Volgens Shadowserver staan er bijna 10.000 SharePoint-servers open op het internet, waarvan er honderden nog niet gepatcht waren tegen de twee oudere lekken. Voor Amerikaanse overheidsdiensten geldt een harde deadline van 17 juli; in Nederland is er geen wettelijke datum, maar de aanvallers houden zich niet aan grenzen.

Wat je nu moet doen

Installeer de SharePoint-updates van deze maand, onderdeel van een recordronde van 570 gedichte lekken in Microsofts juli-patchronde. Zet een SharePoint-server daarna niet zonder noodzaak rechtstreeks aan het open internet, en controleer of hij al vóór deze week is aangevallen. Bij twijfel over compromittering: roteer de machinesleutels en spit de logs door op ongewone activiteit.

Het patroon is bekender dan het lijkt. Het is de tweede zelf-gehoste omgeving in korte tijd die zo onder vuur ligt: eerder moesten ShareFile-klanten hun on-prem servers zelfs helemaal uitzetten omdat er geen patch bestond. Wie data om soevereiniteitsredenen op eigen servers houdt, wint controle, maar erft ook het onderhoud. Die keuze is verdedigbaar, alleen niet vrijblijvend: een server op locatie vraagt hetzelfde patchtempo dat een cloudprovider anders onzichtbaar voor je draait. De echte scheidslijn loopt niet tussen cloud en eigen beheer, maar tussen systemen die snel worden bijgewerkt en systemen die dat niet worden.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Zelf hosten, goed geregeld

Zelf hosten geeft je grip op je data, maar alleen als het onderhoud en de updates ook echt worden bijgehouden. Ik denk met je mee, bouw en houd je systemen draaiend, self-hosted waar dat kan, van ontwerp tot beheer.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Check Point: AI draait nu zelf delen van cyberaanvallen, exploit-venster krimpt naar uren
Nieuws
4 min

15 jul 12:23

Check Point: AI draait nu zelf delen van cyberaanvallen, exploit-venster krimpt naar uren

Check Point documenteert in zijn AI Security Report 2026 de eerste aanvallen waarin AI zelf delen van de operatie draait. Het venster tussen kwetsbaarheid en misbruik krimpt van dagen naar uren, en dat verandert je patchtempo.

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie
Inzicht
6 minBijgewerkt om 16:50

14 jul 13:03

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'
Inzicht
6 min

13 jul 13:01

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'

Progress roept ShareFile-klanten op om on-prem servers direct uit te zetten
Nieuws
4 min

10 jul 20:11

Progress roept ShareFile-klanten op om on-prem servers direct uit te zetten

Progress vraagt klanten met een zelf-gehoste ShareFile-server om die vanwege een geloofwaardige dreiging onmiddellijk uit te zetten. Er is geen patch, alleen de stekker eruit. Wat een Nederlandse beheerder nu afweegt, met de MOVEit-parallel op de achtergrond.

OpenAI lanceert ChatGPT Work: AI-agent die uren kantoorwerk zelfstandig afmaakt
Nieuws
4 min

10 jul 08:12

OpenAI lanceert ChatGPT Work: AI-agent die uren kantoorwerk zelfstandig afmaakt

OpenAI lanceert ChatGPT Work, een AI-agent die zelfstandig uren aan kantoorwerk werkt en afgeronde documenten oplevert. Daarmee krijgt de agent-race met Claude Cowork en Microsoft Copilot een derde speler, draaiend op het nieuwe model GPT-5.6.

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing
Nieuws
5 min

9 jul 20:22

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.