Sårbarheten under aktivt angrepp
Detta är inte en teoretisk varning; bristen utnyttjas just nu. Den 17 juli 2026 lade den amerikanska cybermyndigheten CISA till CVE-2026-58644, en kritisk Microsoft SharePoint Server-sårbarhet, i sin katalog över kända utnyttjade sårbarheter och beordrade de federala civila myndigheterna att patcha den senast den 19 juli. Bristen är en deserialisering av opålitliga data med en allvarlighetsgrad på 9,8 av 10, som låter en angripare utan inloggningsuppgifter köra godtycklig kod på servern.
Den står inte ensam. En grupp SharePoint Server-brister kedjas i det vilda för att kringgå autentisering, uppnå fjärrkörning av kod och utföra efterföljande aktivitet. Självhostad SharePoint har en lång historia här: sedan slutet av 2021 har tillsynsmyndigheter markerat nästan ett dussin av dess sårbarheter som utnyttjade i angrepp, och de flesta användes senare i ransomware.
Varför en patch ensam inte räcker
Det farliga är vad angriparna tar med sig på vägen in. Under utnyttjandet stjäl de serverns kryptografiska maskinnycklar, de hemligheter SharePoint använder för att signera och validera de token som ger åtkomst. När en angripare har de nycklarna kan han förfalska giltiga inloggningsuppgifter efter behag, och han kan göra det mot en server du redan har uppdaterat.
Det är fällan i den här händelsen. Att tillämpa Microsofts patch stänger hålet inkräktaren kom igenom, men gör inget åt nycklarna han redan kopierade. En patchad, fullt uppdaterad SharePoint Server kan ändå beträdas igen med stulna nycklar, och därför slutar åtgärdandet här inte med patchen. Om du inte roterar maskinnycklarna kan du tro dig säker medan dörren tyst står öppen.
Vem som faktiskt är exponerad
Detta är ett on-premises-problem, inte ett molnproblem. Sårbarheten drabbar självhostad SharePoint Server, den version en organisation kör på sin egen infrastruktur. Microsoft 365 SharePoint Online, den hostade tjänsten, är inte målet för just dessa utnyttjanden. Så risken koncentreras precis i de installationer som många europeiska medelstora företag, offentliga organ, advokatbyråer och finanshus behåller internt.
Ofta behåller de det internt av goda skäl: dataresidens, branschregler eller ett beslut att förvara känsliga dokument på infrastruktur de kontrollerar. Det valet är legitimt, men innebär också att patchning, nyckelrotation och övervakning helt är ditt ansvar. Den bekvämlighet en molnleverantör tyst skulle ha hanterat är on-premises en uppgift med ditt namn på och en klocka som tickar.
Vad det betyder enligt EU-regler
Den amerikanska deadlinen binder inte dig, men brådskan gör det. Den 19 juli gäller amerikanska federala myndigheter; en europeisk operatör har ingen rättslig skyldighet mot den. Behandla den i stället som en offentlig signal om hur snabbt detta rör sig, för samma servrar och samma exploateringskod stannar inte vid en gräns. Nationella myndigheter som tyska BSI och brittiska NCSC utfärdar egna varningar om just denna typ av aktivt utnyttjad brist.
Under NIS2 och, för finansiella enheter, DORA, är ett lyckat intrång här en anmälningspliktig incident med snäva tidsfönster och ansvar på styrelsenivå. Ett dokumentlager fullt av kontrakt, personuppgifter och interna register är precis den tillgång dessa regler finns för att skydda. Att vara långsam med att patcha en känd, utnyttjad sårbarhet är den sortens försummelse en tillsynsmyndighet läser som oaktsamhet, inte otur.
Vad du ska göra nu
Gå i ordning och anta det värsta där du inte kan bevisa motsatsen. Tillämpa Microsofts SharePoint Server-uppdateringar omedelbart, rotera sedan IIS-maskinnycklarna så att stulna nycklar blir värdelösa. Jaga tecken på kompromettering: oväntade web shells, okända filer under servermapparna, nya eller ändrade nycklar och autentiseringshändelser som inte matchar dina användare. Minska attackytan genom att ta bort varje internetvänd SharePoint från det öppna nätet där du kan.
Var din server nåbar och opatchad vid någon tidpunkt sedan avslöjandet, behandla den som bruten och utred på den grunden i stället för att hoppas att den missades. Kostnaden för att anta en kompromettering du inte hade är några timmars granskning; kostnaden för att anta en säkerhet du inte hade är själva incidenten.
Läs vidare: Elva signerade bootloaders kringgår Secure Boot | 570 Windows-rättningar på en dag, två utnyttjas redan



