Meer dan 1.300 Microsoft SharePoint-servers die online zijn blootgesteld, zijn nog niet gepatcht tegen een spoofingkwetsbaarheid die als zero-day werd uitgebuit en nog steeds wordt misbruikt in lopende aanvallen. De kwetsbaarheid, geregistreerd als CVE-2026-32201, treft SharePoint Enterprise Server 2016, SharePoint Server 2019 en SharePoint Server Subscription Edition, de nieuwste on-premises versie met een continu update-model.

Microsoft gaf bij het uitbrengen van de patch tijdens Patch Tuesday in april 2026 aan dat succesvolle exploitatie aanvallers zonder privileges in staat stelt netwerkspoofing uit te voeren door misbruik van een onjuiste invoervalidatie. Dit kan gebeuren via relatief eenvoudige aanvallen zonder dat gebruikersinteractie nodig is. Volgens Microsoft kan een aanvaller zo gevoelige informatie inzien (vertrouwelijkheid) en wijzigingen aanbrengen in de informatie (integriteit), maar is het niet mogelijk om de toegang tot de resource te beperken (beschikbaarheid).

Hoewel Microsoft de kwetsbaarheid als zero-day heeft aangemerkt, is nog niet bekendgemaakt hoe deze precies werd misbruikt of welke specifieke dreigingsactoren of hackinggroepen hierbij betrokken zijn. De internetbeveiligingsorganisatie Shadowserver waarschuwde dinsdag dat er nog steeds meer dan 1.300 ongepatchte Microsoft SharePoint-servers online blootgesteld zijn, terwijl sinds de release van de updates vorige week minder dan 200 systemen zijn bijgewerkt.

Op dezelfde dag dat Microsoft de patches uitbracht, voegde het Amerikaanse CISA deze kwetsbaarheid toe aan het Known Exploited Vulnerabilities (KEV) Catalog. Daarnaast gaf CISA opdracht aan federale civiele uitvoerende instanties om hun SharePoint-servers binnen twee weken, uiterlijk 28 april, te patchen volgens de Binding Operational Directive 22-01. CISA waarschuwde dat dit type kwetsbaarheid een veelgebruikte aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico’s vormt voor de federale infrastructuur. Organisaties wordt geadviseerd mitigaties toe te passen volgens de instructies van de leverancier, de richtlijnen van BOD 22-01 voor clouddiensten te volgen of het product niet langer te gebruiken als mitigaties ontbreken.

Eerder deze maand waarschuwde CISA ook voor een privilege-escalatiekwetsbaarheid in Windows Task Host die actief werd misbruikt, en adviseerde federale instanties hun systemen zo snel mogelijk te beveiligen. Op 14 april bracht Microsoft beveiligingsupdates uit voor 167 kwetsbaarheden, waaronder twee zero-days, als onderdeel van Patch Tuesday april 2026.