To administratorer, en rettelse, en meget forskellig juli
Forestil dig to virksomheder med den samme on-premise SharePoint-server. Den ene anvendte Microsofts sikkerhedsopdatering fra maj 2026 i den uge, den udkom. Den anden arkiverede den som rutine og gik videre, beroliget af Microsofts egen note om, at udnyttelse var mindre sandsynlig. Den 1. juli tilføjede den amerikanske myndighed CISA netop den fejl, CVE-2026-45659, til sit katalog over kendte udnyttede sårbarheder med henvisning til beviser for aktive angreb i naturen. Den første administrator var allerede sikker. Den anden har nu et presserende problem med en offentlig frist knyttet til.
CISA gav amerikanske føderale myndigheder frist til den 4. juli til at opdatere. Den dato er ikke din forpligtelse, men optagelsen er din advarsel: en sårbarhed, som nogen nedtonede i maj, bruges mod reelle mål i juli.
Fejlen i klare ord
CVE-2026-45659 er en sårbarhed for fjernafvikling af kode, forårsaget af usikker deserialisering af ikke-betroede data, med en alvorlighedsscore på 8.8 ud af 10. I praksis betyder det, at en angriber kan få serveren til at afvikle kode efter eget valg. Den rammer on-premise produkterne, altså SharePoint Server Subscription Edition, SharePoint Server 2019 og SharePoint Enterprise Server 2016, og ikke det skyhostede SharePoint i Microsoft 365.
Detaljen, der hæver indsatsen, er den lave adgangstærskel. At udnytte fejlen kræver ikke administratorrettigheder; en enkelt konto med almindelige Webstedsmedlem-rettigheder er nok. De fleste organisationer giver dette adgangsniveau til konsulenter, midlertidigt personale og snesevis af almindelige brugere. En af disse legitimationsoplysninger, phishet eller genbrugt, er hele nøglen.
Kløften mellem usandsynligt og udnyttet
Da Microsoft udsendte rettelsen i maj, markerede firmaet fejlen som mindre sandsynlig at udnytte, en rimelig forudsigelse, der viste sig forkert inden for uger. Den kløft er grunden til, at leverandørens alvorlighedsvurderinger bør fastsætte din rettelsesrækkefølge, ikke din beslutning om at rette. En vurdering forudsiger angriberens adfærd; en CISA-optagelse blandt udnyttede sårbarheder registrerer den. Når de to er uenige, vinder registret, og det gjorde det netop.
Mønstret er ikke nyt. On-premise samarbejdsservere, eksponeret mod internettet og rige på interne data, er blandt den mest pålideligt angrebne software i virksomheders bestande. En nedtonet alvorlighedsnote er en prognose, og prognoser er netop det, angribere får betalt for at modbevise.
Hvorfor NIS2 ændrer indsatsen, og hvad man skal gøre nu
For europæiske operatører er konsekvensen både regulatorisk og teknisk. Under NIS2-direktivet skal organisationer inden for anvendelsesområdet håndtere kendte sårbarheder og kan møde kontrol og sanktioner, hvis de undlader det. Den danske implementering af NIS2 giver denne ramme krop. En fejl, der står på en offentlig liste over udnyttede sårbarheder, med en rettelse tilgængelig siden maj, er næsten det klarest mulige bevis på, at en rettelse fandtes og ikke blev anvendt. Efter en hændelse er det det første dokument, en efterforsker holder op.
Handlingen er snæver og øjeblikkelig. Bekræft, om du kører en af de tre berørte on-premise SharePoint-versioner. Hvis du gør, så anvend opdateringen fra maj 2026 nu og se efter tegn på kompromittering i stedet for at antage, at opdateringen alene lukker døren. Behandl derefter CISA-kataloget, ikke leverandørens alvorlighedsmærkat, som din udløser for det næste tilfælde af denne slags, for der er altid et næste.
Læs videre: To Cursor-sårbarheder med 9.8 giver angribere udviklerens maskine | Et enkelt leverandørbrud stod bag halvdelen af Europas ransomware-ofre



