CISA waarschuwt beheerders om drie actief misbruikte lekken in zelf-gehoste SharePoint-servers meteen te patchen, omdat aanvallers de authenticatie kunnen omzeilen en op afstand code kunnen uitvoeren op systemen die rechtstreeks aan het internet hangen.
Juist organisaties die SharePoint bewust op eigen servers draaien, vaak om hun documenten binnen eigen muren te houden, zitten nu in de vuurlinie. Zelf hosten betekent dat de patchklok ook van jou is: er is geen cloudleverancier die het gat 's nachts voor je dicht. Draait er ergens een SharePoint-server aan het open internet zonder de update van deze week, ga er dan van uit dat scanners hem al hebben gezien.

Welke lekken het zijn
De Amerikaanse Cybersecurity and Infrastructure Security Agency zette drie SharePoint-lekken op haar lijst van actief misbruikte kwetsbaarheden: CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164. Ze raken alle ondersteunde zelf-gehoste versies, tot en met de nieuwste SharePoint Server Subscription Edition. Samen laten ze een aanvaller de authenticatie omzeilen, code uitvoeren en zich daarna nestelen.
Het zwaarste weegt CVE-2026-45659, een deserialisatie-lek met een CVSS-score van 8,8 dat Microsoft op 12 mei dichtte. De nieuwste, CVE-2026-56164, kreeg een misleidend milde score van 5,3, maar is zonder inloggegevens en zonder dat een gebruiker iets hoeft te doen op afstand te misbruiken en belandde op 14 juli op de lijst. Een score zegt hier dus weinig over de urgentie.
Hoe aanvallers binnenkomen
Achter CVE-2026-45659 zit de groep Storm-2603, die na binnenkomst Warlock-ransomware uitrolt en ASP.NET-machinesleutels steelt om zelfs na een patch toegang te houden. Dat laatste is het venijn: het lek dichten is niet genoeg als de sleutels al buiten liggen. Wie besmetting vermoedt, moet ook die machinesleutels roteren, anders blijft de achterdeur openstaan.
De schaal is aanzienlijk. Volgens Shadowserver staan er bijna 10.000 SharePoint-servers open op het internet, waarvan er honderden nog niet gepatcht waren tegen de twee oudere lekken. Voor Amerikaanse overheidsdiensten geldt een harde deadline van 17 juli; in Nederland is er geen wettelijke datum, maar de aanvallers houden zich niet aan grenzen.
Wat je nu moet doen
Installeer de SharePoint-updates van deze maand, onderdeel van een recordronde van 570 gedichte lekken in Microsofts juli-patchronde. Zet een SharePoint-server daarna niet zonder noodzaak rechtstreeks aan het open internet, en controleer of hij al vóór deze week is aangevallen. Bij twijfel over compromittering: roteer de machinesleutels en spit de logs door op ongewone activiteit.
Het patroon is bekender dan het lijkt. Het is de tweede zelf-gehoste omgeving in korte tijd die zo onder vuur ligt: eerder moesten ShareFile-klanten hun on-prem servers zelfs helemaal uitzetten omdat er geen patch bestond. Wie data om soevereiniteitsredenen op eigen servers houdt, wint controle, maar erft ook het onderhoud. Die keuze is verdedigbaar, alleen niet vrijblijvend: een server op locatie vraagt hetzelfde patchtempo dat een cloudprovider anders onzichtbaar voor je draait. De echte scheidslijn loopt niet tussen cloud en eigen beheer, maar tussen systemen die snel worden bijgewerkt en systemen die dat niet worden.
Veelgestelde vragen
Zelf hosten, goed geregeld
Zelf hosten geeft je grip op je data, maar alleen als het onderhoud en de updates ook echt worden bijgehouden. Ik denk met je mee, bouw en houd je systemen draaiend, self-hosted waar dat kan, van ontwerp tot beheer.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
