CVE-2026-56164 und CVE-2026-56155: Zwei ausgenutzte Microsoft Zero-Days gefährden SharePoint und AD FS

CVE-2026-56164 und CVE-2026-56155: Zwei ausgenutzte Microsoft Zero-Days gefährden SharePoint und AD FS

SOC Prime Team
SOC Prime Team linkedin icon Folgen

Add to my AI research

Microsofts Patch Tuesday im Juli 2026 erregte sofortige Aufmerksamkeit, nicht nur wegen seines Rekordumfangs, sondern weil zwei aktiv ausgenutzte Zero-Days einige der empfindlichsten Teile der Unternehmensinfrastruktur trafen. CVE-2026-56164 zielt auf lokale SharePoint Server ab und ist in Angriffen mit geringer Komplexität aus der Ferne ausnutzbar, während CVE-2026-56155 Active Directory Federation Services ins Visier nimmt und eine Privilegieneskalation von einem lokalem Niederigkeitsniveau erlaubt. Zusammen zeigen sie, warum Verteidiger die Risiken dieses Monats nicht nur nach Punktzahlen sortieren sollten.

Der SharePoint-Bug ist das dringendere internetbezogene Problem. Öffentliche Berichte besagen, dass keine Anmeldeinformationen und keine Benutzerinteraktion erforderlich sind, was es besonders gefährlich für Organisationen macht, die immer noch selbstgehostetes SharePoint betreiben. Der AD FS-Fehler hat eine geringere Reichweite, ist aber in der Praxis genauso wichtig, da Föderationsinfrastruktur im Zentrum der Unternehmensidentität und des Vertrauens steht. Sobald Angreifer diese Schicht erreichen, kann der Einfluss weit über einen einzelnen Host hinausreichen.

Analyse von CVE-2026-56164 und CVE-2026-56155

For Analyse von CVE-2026-56164, der entscheidende Punkt ist, dass sowohl Microsoft als auch externe Berichte den Fehler als bereits in tatsächlichen Angriffen auf lokale SharePoint-Systeme ausgenutzt beschreiben. Es handelt sich um ein Problem der Privilegieneskalation, aber im Gegensatz zu vielen Privilegienfehlern ist es aus der Ferne ausnutzbar und wenig komplex, was es viel gefährlicher im operativen Einsatz macht, als es das Label allein vermuten lässt.

Die aktuellen Details zu CVE-2026-56164 sind noch begrenzt. Microsoft hat die genaue Exploit-Kette, den verantwortlichen Akteur oder das vollständige Verhalten nach dem Kompromittieren nicht öffentlich erklärt. Klar ist, dass der Fehler selbstgehostete SharePoint Server betrifft und als ein hochprioritäres Patch-Ereignis behandelt werden sollte, zumal die gleichen Juli-Aktualisierungen auch zusätzliche SharePoint-Remote-Code-Execution- und Sicherheitsumgehungsprobleme beheben.

Der AD FS Zero-Day hat ein anderes Profil. CVE-2026-56155 betrifft Active Directory Federation Services und beginnt mit lokalen niedrigen Privilegien, was bedeutet, dass es wahrscheinlich nach der bereits erfolgten Zugangserlangung durch einen Angreifer nützlicher ist. Das gesagt, ist AD FS genau die Art von Identitätsinfrastruktur, die Angreifer wollen, sobald sie sich innerhalb eines Netzwerks befinden, weil sie sich im Authentifizierungspfad für den Rest der Umgebung befindet.

Zum Zeitpunkt des Schreibens gibt es kein öffentliches CVE-2026-56164 PoC und keine öffentlich detaillierten CVE-2026-56155 IOCs in den zitierten Berichten. Das bedeutet, dass sich Verteidiger weniger auf signaturbasierte Erkennung konzentrieren sollten und mehr auf Reduzierung der Exposition, Patch-Bereitstellung und Überprüfung nach einem Kompromiss auf Systemen, die am wahrscheinlichsten missbraucht werden.

Minderung von CVE-2026-56164 und CVE-2026-56155

Microsofts empfohlene Antwort ist einfach: Beide Schwachstellen sofort patchen. Für SharePoint kann das Aktivieren von AMSI im Vollmodus helfen, Angriffe abzumildern, aber das Patchen bleibt die Priorität, da die Juli-Updates auch zusätzliche SharePoint-Schwächen schließen, die Angreifer möglicherweise gemeinsam nutzen. Das macht die Erkennung von CVE-2026-56164 weniger zu einer Frage des Wartens auf perfekte Telemetrie und mehr zu einer Sache der Bestätigung, welche Server exponiert, internetbezogen und noch ungepatcht sind.

Für AD FS ist die Lösung in Windows- und Windows-Server-Updates enthalten, und Microsoft hat auch damit begonnen, die Zugriffskontrollliste im AD FS Distributed Key Manager-Container zu härten. In der Praxis sollte die Milderung von CVE-2026-56155 sowohl als Patch-Maßnahme als auch als Übung zur Härtung der Identitätsebene betrachtet werden.

Um CVE-2026-56155 zu erkennen, sollten Sicherheitsteams Priorität auf Föderationsserver legen, prüfen, ob die relevanten Updates angewendet wurden, und auf verdächtige lokale Privilegienänderungen oder den Missbrauch von Identitätsinfrastruktur untersuchen. Dasselbe gilt für SharePoint: Alle lokalen Server inventarisieren, schnell patchen und überprüfen, ob externe erreichbare Instanzen Anzeichen von ungewöhnlichem Zugriff oder Missbrauch nach der Authentifizierung seit dem frühest beobachteten Exploit-Zeitfenster gezeigt haben.

PRÜFEN SIE VERFÜGBARE ERKENNUNGEN

Haftungsausschluss: Erkennungsinhalte sind möglicherweise nicht für jede CVE verfügbar. Überprüfen Sie die SOC Prime-Plattform auf aktuelle Abdeckung. Wenn Sie derzeit keine relevanten Erkennungen finden, überprüfen Sie dies bitte später erneut.

FAQ

Was sind CVE-2026-56164 und CVE-2026-56155 und wie funktionieren sie?

CVE-2026-56164 ist eine aktiv ausgenutzte Schwachstelle zur Privilegieneskalation in lokalem Microsoft SharePoint Server, die in Angriffen mit geringer Komplexität aus der Ferne ausnutzbar ist. CVE-2026-56155 ist eine aktiv ausgenutzte Schwachstelle zur Privilegieneskalation in Active Directory Federation Services, die mit lokalen niedrigen Privilegien beginnt und Angreifern helfen kann, sich tiefer in die Identitätsinfrastruktur zu bewegen.

Wann wurden CVE-2026-56164 und CVE-2026-56155 erstmals entdeckt?

Die öffentlichen Berichte geben kein privates Entdeckungsdatum für eines der Probleme preis. Bekannt ist, dass Microsoft im Juli 2026 öffentlich Patches lieferte und Vorfallsrespondern für beide dankte, was stark auf Entdeckungen während realer Angriffsermittlungen hinweist.

Welche Auswirkungen hat CVE-2026-56155 auf Systeme?

Die ernsthafteste Auswirkung von CVE-2026-56155 ist die Privilegieneskalation auf einem AD FS-Host, was weit mehr bedeuten kann, als die Anforderung für den lokalen Zugriff vermuten lässt, da AD FS Identitätsvertrauen über die Umgebung hinweg signiert und vermittelt. In den falschen Händen kann die Kompromittierung dieser Rolle breitere seitliche Bewegungen und nachfolgendem Missbrauch unterstützen.

Können mich CVE-2026-56164 und CVE-2026-56155 im Jahr 2026 noch beeinflussen?

Ja. Organisationen können im Jahr 2026 immer noch gefährdet sein, wenn sie die Microsoft-Updates vom Juli 2026 nicht angewendet haben, insbesondere wenn sie internetbezogene lokale SharePoint betreiben oder AD FS-Server pflegen, die Angreifern durch eine bestehende Basis bereits zugänglich sind.

Wie kann ich mich vor CVE-2026-56164 und CVE-2026-56155 schützen?

Sofort patchen, AMSI Vollmodus auf SharePoint als zusätzliche Steuerung aktivieren, die gebündelten Windows- und Windows-Server-Updates für AD FS bereitstellen und Ihre sensibelsten Kollaborations- und Identitätssysteme auf Anzeichen von Missbrauch nach dem Kompromiss überprüfen. In diesem Fall zählt Geschwindigkeit mehr, als auf eine ausführlichere öffentliche Exploit-Veröffentlichung zu warten.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

More Articles