LAGEBRIEFING · 15.07.2026 DEENFRES

Praxis & Umsetzung

SharePoint-JWT-Bypass öffnet On-Prem-Sites

Von Alec Chizhik · 15. Juli 2026 · 4 Minuten Lesezeit

CVE-2026-55040 lässt unauthentisierte Angreifer als SharePoint-Nutzer auftreten. Rapid7 meldet CVSS 9.1. Der Auth-Bypass bricht die Kette, bevor die geplante RCE-Komponente im August nachgezogen wird.

Das Wichtigste in Kürze

  • Auth zuerst patchen. CVE-2026-55040 ist der Einstieg. Ohne gültige Session bricht die von Rapid7 beschriebene RCE-Kette.
  • Identität reicht. SID oder UPN des Zielnutzers genügen als Voraussetzung für die Identitätsübernahme.
  • On-Prem priorisieren. Internet-exponierte SharePoint-Server sind das dringende Inventar, nicht die reine CVE-Liste.
  • Zweiter Zero-Day im Blick. CVE-2026-56164 (SharePoint EoP) wurde laut Microsoft bereits ausgenutzt. AMSI-Mitigation prüfen.

Verwandt:Der schwächste Zulieferer öffnet die kritische Anlage  /  Ein signierter Treiber macht den Endpunktschutz blind

Was CVE-2026-55040 bricht

Was ist der SharePoint-JWT-Bypass? CVE-2026-55040 ist eine Schwachstelle in der JWT-Token-Validierung von Microsoft SharePoint. Ein entfernter, unauthentisierter Angreifer kann die Authentifizierung umgehen und Operationen als Site-Nutzer oder Administrator ausführen, sofern er die Zielidentität kennt.

Entdeckt hat die Lücke Stephen Fewer von Rapid7 Labs im Rahmen eines Zero-Day-Forschungsprojekts. Die Koordination mit Microsoft lief seit dem 18. Mai 2026. Am 14. Juli 2026 folgte die öffentliche Disclosure zusammen mit dem Juli-Patch.

9,1

CVSS v3.1 für CVE-2026-55040 (Critical)

Quelle: Rapid7 / FIRST-Rechner

Die Voraussetzung ist präzise: Der Angreifer muss die Zielperson kennen, etwa über Active-Directory-SID oder UPN (typisch mailähnlich). Danach kann er die Identität annehmen. Rapid7 beschreibt SID-Enumeration plus Identitätsübernahme bis zum Site-Administrator in der PoC-Darstellung.

Definition · JWT-Auth-Bypass

Ein Angreifer umgeht die Token-Prüfung und tritt als bekannter SharePoint-Nutzer auf, ohne dessen Passwort zu kennen.

Warum der Auth-Bypass die RCE-Kette stoppt

Rapid7 verkettete den Bypass mit einer separaten RCE-Schwachstelle zu unauthentisierter Remote Code Execution. Microsoft plant den RCE-Teil für den August-Zyklus. Der Juli-Fix für CVE-2026-55040 unterbricht diese Kette bereits. Auth-Bypasses sind deshalb keine mittleren Probleme. Sie öffnen die authentisierte Angriffsfläche komplett.

Parallel adressiert der Juli-Patchday CVE-2026-56164, eine SharePoint Elevation-of-Privilege mit aktiver Ausnutzung laut Microsoft (CVSS 5.3, Moderate). Betroffen: SharePoint Server 2016, 2019 und Subscription Edition. Microsoft verweist auf AMSI-Integration als zusätzliche Erkennung von schädlichen POST-Requests. Das ersetzt den Patch nicht, ergänzt ihn.

Priorität für DACH-Admins

Zuerst inventarisieren: Welche SharePoint-Server laufen on-prem und sind aus dem Internet erreichbar? Jede solche Instanz ist Hotfix. Danach Patch-Stand gegen die Juli-Updates prüfen. Builds dokumentieren. Rollback-Plan bereithalten, aber nicht patchen aufschieben.

Danach Identitätsspuren: ungewöhnliche Site-Admin-Aktivitäten, neue Webparts, verdächtige Dateiuploads, Token- und Auth-Anomalien in den Logs. Wer nur CVEs tickt und Exposure ignoriert, verliert Zeit.

On-Prem-SharePoint jetzt

  • Juli-2026-Updates für SharePoint Server einspielen und Build-Stand verifizieren
  • Internet-exponierte SharePoint-Instanzen inventarisieren und Exposure killen
  • AMSI-Integration für SharePoint prüfen (Microsoft-Mitigation für verwandte EoP-Pfade)
  • Admin- und Site-Konten auf ungewöhnliche Anmeldungen und Token-Muster prüfen
  • Auth-Bypass und RCE-Kette getrennt tracken: August-Patch für RCE-Komponente einplanen

Was der Board-Satz sein muss

On-Prem-SharePoint bleibt Angriffsfläche, solange Auth-Pfade schwach und Instanzen exponiert sind. CVE-2026-55040 zeigt: Collaboration-Plattformen sind Management-Layer. Wer sie patcht und vom Internet nimmt, bricht Ketten. Wer wartet, kauft sich den August-RCE-Anteil teurer ein.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Ist CVE-2026-55040 remote ausnutzbar?

Ja. Rapid7 beschreibt einen entfernten, unauthentisierten Angriffspfad. Voraussetzung ist Kenntnis der Zielidentität (SID oder UPN).

Reicht der Juli-Patch gegen die volle RCE-Kette?

Er bricht die von Rapid7 beschriebene Kette am Auth-Bypass. Die separate RCE-Komponente soll im August-Zyklus folgen. Trotzdem sofort patchen.

Betrifft das SharePoint Online?

Die Disclosure zielt auf SharePoint Server und die JWT-Validierungspipeline der betroffenen Serverprodukte. Den genauen Patch-Scope liefert der MSRC-Eintrag zur jeweiligen Build.

Was ist der Unterschied zu CVE-2026-56164?

56164 ist eine EoP mit bestätigter Ausnutzung im Wild. 55040 ist der JWT-Auth-Bypass mit CVSS 9.1 und Kettenpotenzial zu RCE.

Welche Mitigation zählt neben dem Patch?

Internet-Exposure reduzieren, AMSI für SharePoint aktivieren, Admin-Konten überwachen und ungewöhnliche Site-Operationen alarmieren.

Lesetipps der Redaktion

LesetippDer schwächste Zulieferer öffnet die kritische AnlageLesetippEin signierter Treiber macht den Endpunktschutz blindLesetippWas ist KRITIS? Betreiber, Pflichten und Schwellen

Mehr aus dem MBF Media Netzwerk

cloudmagazinWenn GPUs den SaaS-Etat auffressenMyBusinessFutureWann sich ein deutsches KI-Modell wirklich rechnetDigital ChiefsDie Rechnung für zehn Jahre Insellösungen

Bildquelle: KI-generiert (Juli 2026)

Weiterführende Lektüre

Praxis & Umsetzung · 15. Juli 2026

BitLocker-Bypass bei physischem Zugriff

CVE-2026-50661 umgeht BitLocker bei physischem Zugriff. CVSS 6.1, Juli-Patch, Checkliste für Notebooks, Pools und Lost-Device-Prozesse.

Ein Magazin der Evernine Media GmbH