Twee beheerders, één patch, een heel verschillende juli

Stel u twee bedrijven voor met dezelfde on-premises SharePoint-server. Het ene paste Microsofts beveiligingsupdate van mei 2026 toe in de week dat die uitkwam. Het andere archiveerde die als routine en ging verder, gerustgesteld door Microsofts eigen aantekening dat misbruik minder waarschijnlijk was. Op 1 juli voegde de Amerikaanse instantie CISA precies dat lek, CVE-2026-45659, toe aan haar catalogus van bekende misbruikte kwetsbaarheden, met verwijzing naar bewijs van actieve aanvallen in het wild. De eerste beheerder was al veilig. De tweede heeft nu een urgent probleem met een openbare deadline eraan vast.

CISA gaf Amerikaanse federale instanties tot 4 juli om te patchen. Die datum is niet uw verplichting, maar de vermelding is uw waarschuwing: een kwetsbaarheid die iemand in mei bagatelliseerde, wordt in juli tegen echte doelwitten ingezet.

Het lek in duidelijke taal

CVE-2026-45659 is een kwetsbaarheid voor uitvoering van code op afstand, veroorzaakt door onveilige deserialisatie van niet-vertrouwde data, met een ernstscore van 8.8 op 10. In de praktijk betekent dit dat een aanvaller de server code van eigen keuze kan laten uitvoeren. Het treft de on-premises producten, namelijk SharePoint Server Subscription Edition, SharePoint Server 2019 en SharePoint Enterprise Server 2016, en niet het in de cloud gehoste SharePoint in Microsoft 365.

Het detail dat de inzet verhoogt, is de lage drempel. Het lek misbruiken vereist geen beheerdersrechten; een enkel account met gewone Sitelid-rechten volstaat. De meeste organisaties geven dat toegangsniveau aan aannemers, tijdelijk personeel en tientallen alledaagse gebruikers. Eén van die inloggegevens, gephisht of hergebruikt, is de hele sleutel.

De kloof tussen onwaarschijnlijk en misbruikt

Toen Microsoft de oplossing in mei uitbracht, bestempelde het het lek als minder waarschijnlijk te misbruiken, een redelijke voorspelling die binnen weken onjuist bleek. Die kloof is de reden waarom de ernstbeoordelingen van de leverancier uw patchvolgorde moeten bepalen, niet uw patchbeslissing. Een beoordeling voorspelt het gedrag van de aanvaller; een CISA-vermelding van misbruikte kwetsbaarheden legt het vast. Wanneer beide botsen, wint het register, en dat gebeurde zojuist.

Het patroon is niet nieuw. On-premises samenwerkingsservers, blootgesteld aan internet en rijk aan interne data, behoren tot de meest betrouwbaar aangevallen software in bedrijfsomgevingen. Een verlaagde ernstaantekening is een prognose, en prognoses zijn precies datgene wat aanvallers betaald krijgen om te weerleggen.

Waarom NIS2 de inzet verandert, en wat nu te doen

Voor Europese entiteiten is het gevolg zowel regelgevend als technisch. Onder de NIS2-richtlijn moeten organisaties binnen de reikwijdte bekende kwetsbaarheden beheren en kunnen zij toezicht en sancties tegemoetzien als zij dat nalaten. In Nederland geven het NCSC-NL en de Cyberbeveiligingswet vorm aan dit kader. Een lek dat op een openbare lijst van misbruikte kwetsbaarheden staat, met een patch beschikbaar sinds mei, is bijna het duidelijkst mogelijke bewijs dat er een oplossing bestond en niet is toegepast. Na een incident is dat het eerste document dat een onderzoeker omhoog houdt.

De actie is nauw omschreven en onmiddellijk. Bevestig of u een van de drie getroffen on-premises SharePoint-versies draait. Zo ja, pas dan nu de update van mei 2026 toe en zoek naar tekenen van compromittering in plaats van aan te nemen dat de update alleen de deur sluit. Behandel vervolgens de CISA-catalogus, niet het ernstlabel van de leverancier, als uw trigger voor het volgende geval, want er is er altijd een volgende.