De kwetsbaarheid onder actieve aanval
Dit is geen theoretisch advies; het lek wordt nu misbruikt. Op 17 juli 2026 zette het Amerikaanse cyberagentschap CISA CVE-2026-58644, een kritieke Microsoft SharePoint Server-kwetsbaarheid, op zijn catalogus van bekende misbruikte kwetsbaarheden en gelastte de federale civiele agentschappen die voor 19 juli te patchen. De fout is een deserialisatie van niet-vertrouwde data met een ernst van 9,8 op 10, waarmee een aanvaller zonder inloggegevens willekeurige code op de server kan draaien.
Hij staat niet alleen. Een cluster SharePoint Server-lekken wordt in het wild geketend om authenticatie te omzeilen, code op afstand uit te voeren en vervolgactiviteit uit te voeren. Self-hosted SharePoint heeft hier een lange geschiedenis: sinds eind 2021 hebben toezichthouders bijna een dozijn van zijn kwetsbaarheden als misbruikt in aanvallen gemarkeerd, en de meeste werden later in ransomware gebruikt.
Waarom patchen alleen u niet redt
Het gevaarlijke is wat de aanvallers onderweg naar binnen meenemen. Tijdens het misbruik stelen ze de cryptografische machinesleutels van de server, de geheimen waarmee SharePoint de tokens ondertekent en valideert die toegang verlenen. Zodra een aanvaller die sleutels heeft, kan hij naar believen geldige inloggegevens vervalsen, en dat kan hij tegen een server die u al hebt bijgewerkt.
Dat is de valstrik in dit incident. De patch van Microsoft toepassen dicht het gat waardoor de indringer kwam, maar doet niets aan de sleutels die hij al kopieerde. Een gepatchte, volledig bijgewerkte SharePoint Server kan met gestolen sleutels toch weer worden betreden, en daarom eindigt herstel hier niet bij patchen. Als u de machinesleutels niet roteert, waant u zich wellicht veilig terwijl de deur stilletjes openblijft.
Wie werkelijk blootstaat
Dit is een on-premises probleem, geen cloudprobleem. De kwetsbaarheid treft self-hosted SharePoint Server, de versie die een organisatie op haar eigen infrastructuur draait. Microsoft 365 SharePoint Online, de gehoste dienst, is niet het doelwit van deze specifieke exploits. Het risico concentreert zich dus precies in de installaties die veel Europese middelgrote bedrijven, overheidsinstanties, advocatenkantoren en financiële huizen in eigen huis houden.
Vaak houden ze het in eigen huis om goede redenen: dataresidentie, sectorregels of de keuze om gevoelige documenten op eigen beheerde infrastructuur te bewaren. Die keuze is legitiem, maar betekent ook dat patchen, sleutelrotatie en monitoring volledig uw verantwoordelijkheid zijn. Het gemak dat een cloudleverancier stil zou hebben afgehandeld is on-premises een taak met uw naam erop en een tikkende klok.
Wat dit betekent onder EU-regels
De Amerikaanse deadline bindt u niet, de urgentie wel. De 19 juli geldt voor Amerikaanse federale agentschappen; een Europese operator heeft er geen wettelijke verplichting toe. Behandel hem in plaats daarvan als een publiek signaal van hoe snel dit beweegt, want dezelfde servers en dezelfde exploitcode stoppen niet bij een grens. Nationale instanties zoals het Duitse BSI en het Britse NCSC geven eigen adviezen uit over precies dit soort actief misbruikt lek.
Onder NIS2 en, voor financiële entiteiten, DORA, is een geslaagde inbraak hier een meldplichtig incident met krappe termijnen en verantwoordelijkheid op bestuursniveau. Een documentopslag vol contracten, persoonsgegevens en interne dossiers is precies het goed dat deze regels beschermen. Traag zijn met het patchen van een bekend, misbruikt lek is het soort tekortkoming dat een toezichthouder als nalatigheid leest, niet als pech.
Wat nu te doen
Werk op volgorde en neem het ergste aan waar u het tegendeel niet kunt bewijzen. Pas onmiddellijk de SharePoint Server-updates van Microsoft toe, roteer daarna de IIS-machinesleutels zodat gestolen sleutels nutteloos worden. Jaag op tekenen van compromittering: onverwachte web shells, onbekende bestanden in de servermappen, nieuwe of gewijzigde sleutels en authenticatiegebeurtenissen die niet bij uw gebruikers passen. Verklein het aanvalsoppervlak door elk aan internet blootgesteld SharePoint waar mogelijk van het open net te halen.
Was uw server sinds de openbaarmaking op enig moment bereikbaar en ongepatcht, behandel hem dan als geschonden en onderzoek op die basis in plaats van te hopen dat hij is gemist. De kosten van uitgaan van een compromittering die er niet was, zijn een paar uur onderzoek; de kosten van uitgaan van een veiligheid die er niet was, zijn het incident zelf.
Lees hierna: Elf ondertekende bootloaders omzeilen Secure Boot | 570 Windows-patches op een dag, twee al misbruikt



