Een nieuw SharePoint-lek staat sinds april 2026 op de Known Exploited Vulnerabilities-lijst van het Amerikaanse cybersecuritybureau CISA. Federale agentschappen moeten voor 28 april patchen, maar het advies is breder relevant. Wat is het lek, wie loopt risico en wat moet u doen?
In april 2026 is een SharePoint-kwetsbaarheid met identifier CVE-2026-32201 toegevoegd aan de Known Exploited Vulnerabilities-catalogus van CISA, het Amerikaanse cybersecuritybureau. Toevoeging aan deze lijst betekent dat het lek niet langer een theoretisch risico is, maar dat aanvallers het al actief gebruiken in echte aanvallen op organisaties.
Federale Amerikaanse agentschappen hebben tot 28 april 2026 om hun SharePoint-omgevingen te patchen. Voor Nederlandse organisaties geldt geen wettelijke deadline, maar de strekking is helder: dit lek is ernstig genoeg om snel te handelen.
CVE-2026-32201 is een kwetsbaarheid in Microsoft SharePoint die aanvallers in staat stelt op afstand kwaadaardige code uit te voeren op de SharePoint-server. Het lek vereist geen authenticatie, wat betekent dat een aanvaller die toegang heeft tot de SharePoint-instantie het kan exploiteren zonder geldige inloggegevens.
Voor SharePoint Online-omgevingen, gehost door Microsoft zelf, wordt de patch automatisch toegepast door Microsoft. Voor on-premises SharePoint-installaties, die nog steeds bij veel Nederlandse organisaties draaien voor compliance- of historische redenen, ligt de verantwoordelijkheid voor patchen volledig bij de organisatie zelf.
Drie groepen organisaties moeten direct actie ondernemen. Ten eerste: organisaties met SharePoint Server on-premises, ongeacht of die intern of via internet bereikbaar is. Ten tweede: organisaties met een hybride SharePoint-opzet, waarbij een deel van de content nog op een eigen server draait. Ten derde: organisaties die SharePoint via een externe leverancier laten beheren, waarbij niet duidelijk is hoe snel die leverancier patches uitrolt.
Voor organisaties die volledig op SharePoint Online draaien, is geen actie nodig. Microsoft heeft de patch al uitgerold in de cloudomgeving. U kunt dit verifiëren door in het Microsoft 365 Admin Center onder Service Health te kijken of er meldingen zijn die SharePoint betreffen.
De eerste stap is een inventarisatie. Heeft uw organisatie nog SharePoint Server on-premises in gebruik? Zo ja, op welke versie draait die en wanneer is hij voor het laatst gepatcht? Microsoft heeft beveiligingsupdates uitgebracht voor SharePoint Server 2016, 2019 en de Subscription Edition. Deze updates moeten met de hoogste prioriteit worden geïnstalleerd.
De tweede stap is monitoring. Microsoft Defender for Endpoint en Microsoft Sentinel hebben in de afgelopen weken nieuwe detectieregels toegevoegd voor de specifieke aanvalspatronen die misbruik maken van CVE-2026-32201. Als u Defender of Sentinel gebruikt, controleer of deze regels actief zijn en of er recente waarschuwingen zijn over SharePoint-activiteit.
De derde stap is een breder gesprek over uw SharePoint-strategie. Als uw organisatie nog op een on-premises versie draait, is dit incident een goed moment om de migratie naar SharePoint Online of een hybride model serieus te overwegen. De aanvalsfrequentie op on-premises SharePoint-installaties is de afgelopen jaren aanzienlijk gestegen.
Als u vermoedt dat uw SharePoint-server al is gecompromitteerd, neem dan direct contact op met een security-specialist. Symptomen kunnen zijn: ongebruikelijke uitgaande verbindingen vanuit de SharePoint-server, nieuwe accounts die u niet heeft aangemaakt, gewijzigde bestandsmachtigingen of onverklaarbare wijzigingen in SharePoint-content.
Een gecompromitteerde SharePoint-server is meestal slechts het beginpunt van een grotere aanval. Aanvallers gebruiken dit type initial access om verder de organisatie binnen te dringen, vaak richting Active Directory of mailboxes. Snel handelen is dus cruciaal.
Stel een patch-strategie op voor kritische Microsoft-componenten zoals SharePoint, Exchange en domeincontrollers, met een maximale patch-doorlooptijd van vijf werkdagen voor security updates. Activeer Microsoft Defender for Servers op alle SharePoint-machines. Beperk de internettoegang tot SharePoint-servers waar mogelijk, of plaats ze achter een Web Application Firewall.
Wilt u zekerheid over de SharePoint-status van uw omgeving en de stappen die u nog moet nemen? Neem contact op met Zarioh voor een security-scan.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
