Een kritieke Remote Code Execution in SharePoint Server wordt actief misbruikt door aanvallers. De patch is al beschikbaar sinds januari, maar veel organisaties hebben die nog niet geinstalleerd. CISA heeft de kwetsbaarheid op de lijst van actief misbruikte vulnerabilities gezet. Check uw systemen nu.
CISA, het Amerikaanse cybersecurity-agentschap, heeft CVE-2026-20963 toegevoegd aan de Known Exploited Vulnerabilities-catalogus. Dat betekent dat aanvallers deze kwetsbaarheid in SharePoint Server actief uitbuiten in het wild. De patch was al beschikbaar sinds 13 januari 2026, maar twee maanden lang bleef die voor veel organisaties onopgemerkt in de patch notes. Nu de exploitatie bevestigd is, is er geen tijd meer te verliezen.
CVE-2026-20963 is een Remote Code Execution-kwetsbaarheid veroorzaakt door deserialisatie van onbetrouwbare data in SharePoint Server. Deserialisatie-aanvallen zijn bijzonder gevaarlijk omdat ze een aanvaller in staat stellen willekeurige code uit te voeren op de server, zonder dat een gebruiker iets hoeft te doen. Er is geen gebruikersinteractie vereist en de aanvalscomplexiteit is laag, wat dit een aantrekkelijk doelwit maakt voor geautomatiseerde aanvallen.
De kwetsbaarheid treft SharePoint Server Subscription Edition, SharePoint Server 2019 en SharePoint Enterprise Server 2016. SharePoint Online (via Microsoft 365) is niet kwetsbaar. Alleen organisaties die SharePoint on-premises draaien, lopen risico.
Microsoft heeft de patch uitgebracht als onderdeel van Patch Tuesday op 13 januari 2026. De relevante Knowledge Base-artikelen zijn KB5002822 voor SharePoint Server Subscription Edition en de bijbehorende updates voor SharePoint 2019 en 2016. Als uw maandelijkse patchrondes up to date zijn, bent u beschermd. Als niet, installeer dan vandaag nog de cumulatieve update voor uw SharePoint-versie.
Controleer uw versienummer via Centrale beheer, dan Upgrade en migratie, dan Productversies controleren. Als uw build ouder is dan januari 2026, moet u updaten.
Veel Nederlandse organisaties draaien SharePoint Server on-premises, vooral in de mid-market, overheid, onderwijs en zorgsector. SharePoint bevat doorgaans gevoelige bedrijfsdocumenten, HR-dossiers, contracten en projectdata. Een succesvolle RCE-aanval geeft een aanvaller volledige controle over de server en daarmee toegang tot alle opgeslagen data.
CISA heeft federale overheidsinstanties verplicht de patch voor 21 maart te installeren. Die deadline is al verstreken. Voor private organisaties is er geen wettelijke deadline, maar de urgentie is identiek.
Goed nieuws: als u SharePoint via Microsoft 365 (SharePoint Online) gebruikt, bent u niet kwetsbaar. Microsoft patcht SharePoint Online centraal en continu. Dit is een van de voordelen van cloudgebaseerde infrastructuur: u hoeft niet zelf bij te houden welke patches zijn uitgebracht.
Controleer welke versie van SharePoint Server u draait en of de patch van januari 2026 is geinstalleerd. Installeer KB5002822 en de bijbehorende cumulatieve update als dat niet het geval is. Controleer de event logs op de SharePoint-server op verdachte activiteit, met name ongekende processen die worden gestart door de IIS-worker of SharePoint-serviceaccount. Overweeg of een migratie naar SharePoint Online op de roadmap past om dit soort risico's structureel te elimineren.
Heeft u hulp nodig bij het patchen van uw SharePoint-omgeving of wilt u weten of uw Microsoft 365-configuratie veilig is? Neem contact op met Zarioh voor een snelle check.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
