Sårbarheden under aktivt angreb

Dette er ikke en teoretisk advarsel; fejlen udnyttes lige nu. Den 17. juli 2026 tilføjede den amerikanske cybermyndighed CISA CVE-2026-58644, en kritisk Microsoft SharePoint Server-sårbarhed, til sit katalog over kendte udnyttede sårbarheder og pålagde de føderale civile myndigheder at patche den inden den 19. juli. Fejlen er en deserialisering af upålidelige data med en alvorlighed på 9,8 ud af 10, der lader en angriber uden legitimationsoplysninger køre vilkårlig kode på serveren.

Den står ikke alene. En klynge af SharePoint Server-fejl kædes sammen i naturen for at omgå autentificering, opnå fjernkørsel af kode og udføre efterfølgende aktivitet. Selvhostet SharePoint har en lang historie her: siden slutningen af 2021 har myndigheder markeret næsten et dusin af dens sårbarheder som udnyttet i angreb, og de fleste blev senere brugt i ransomware.

Hvorfor en patch alene ikke redder dig

Det farlige er, hvad angriberne tager med på vej ind. Under udnyttelsen stjæler de serverens kryptografiske maskinnøgler, de hemmeligheder, SharePoint bruger til at signere og validere de tokens, der giver adgang. Når en angriber har de nøgler, kan han forfalske gyldige legitimationsoplysninger efter behag, og han kan gøre det mod en server, du allerede har opdateret.

Det er fælden i denne hændelse. At anvende Microsofts patch lukker hullet, indtrængeren kom igennem, men gør intet ved de nøgler, han allerede kopierede. En patchet, fuldt opdateret SharePoint Server kan stadig gentrædes med stjålne nøgler, og derfor slutter afhjælpningen her ikke med patchen. Hvis du ikke roterer maskinnøglerne, tror du måske, du er sikker, mens døren stille står åben.

Hvem der faktisk er eksponeret

Dette er et on-premises-problem, ikke et cloud-problem. Sårbarheden rammer selvhostet SharePoint Server, den version en organisation kører på sin egen infrastruktur. Microsoft 365 SharePoint Online, den hostede tjeneste, er ikke målet for netop disse udnyttelser. Så risikoen koncentrerer sig præcis i de installationer, som mange europæiske mellemstore firmaer, offentlige organer, advokatfirmaer og finanshuse beholder internt.

Ofte beholder de det internt af gode grunde: dataresidens, brancheregler eller en beslutning om at opbevare følsomme dokumenter på infrastruktur, de kontrollerer. Det valg er legitimt, men betyder også, at patching, nøglerotation og overvågning helt er dit ansvar. Den bekvemmelighed, en cloududbyder ville have håndteret i stilhed, er on-premises en opgave med dit navn på og et ur, der tikker.

Hvad det betyder efter EU-regler

Den amerikanske frist binder dig ikke, men det gør hastigheden. Den 19. juli gælder for amerikanske føderale myndigheder; en europæisk operatør har ingen retlig forpligtelse over for den. Behandl den i stedet som et offentligt signal om, hvor hurtigt dette bevæger sig, for de samme servere og den samme udnyttelseskode stopper ikke ved en grænse. Nationale myndigheder som det tyske BSI og det britiske NCSC udsender deres egne varsler om netop denne slags aktivt udnyttet fejl.

Under NIS2 og, for finansielle enheder, DORA, er en vellykket indtrængen her en anmeldelsespligtig hændelse med snævre frister og ansvar på bestyrelsesniveau. Et dokumentlager fuldt af kontrakter, persondata og interne optegnelser er præcis det aktiv, disse regler findes for at beskytte. At være langsom til at patche en kendt, udnyttet sårbarhed er den slags forsømmelse, en tilsynsmyndighed læser som uagtsomhed, ikke som uheld.

Hvad du skal gøre nu

Gå frem i rækkefølge, og antag det værste, hvor du ikke kan bevise det modsatte. Anvend Microsofts SharePoint Server-opdateringer straks, rotér derefter IIS-maskinnøglerne, så stjålne nøgler bliver ubrugelige. Jag efter tegn på kompromittering: uventede web shells, ukendte filer under servermapperne, nye eller ændrede nøgler og autentificeringshændelser, der ikke passer til dine brugere. Reducer angrebsfladen ved at tage enhver internetvendt SharePoint af det åbne net, hvor du kan.

Var din server tilgængelig og upatchet på noget tidspunkt siden offentliggørelsen, så behandl den som brudt og undersøg på det grundlag i stedet for at håbe, den blev overset. Prisen for at antage en kompromittering, du ikke havde, er nogle timers gennemgang; prisen for at antage en sikkerhed, du ikke havde, er selve hændelsen.