CISA har lagt en kritisk SharePoint-sårbarhet (CVE-2026-20963) inn i sin KEV-katalog, som betyr at feilen nå anses aktivt utnyttet i angrep. For mange IT-miljøer er dette et tydelig prioriteringssignal: denne patchen kan ikke stå i vanlig vedlikeholdskø.
Sårbarheten gjelder SharePoint Enterprise Server 2016, SharePoint Server 2019 og SharePoint Server Subscription Edition. Ifølge Microsoft kan en uautentisert angriper i et nettverksangrep oppnå fjernkjøring av kode ved å utnytte deserialisering av upålitelig data. Det gjør feilen ekstra alvorlig fordi angrepsveien ikke krever innlogget bruker.
Fra patch til aktiv utnyttelse
Microsoft publiserte sikkerhetsoppdatering for CVE-2026-20963 i januar. Det nye nå er at CISA har løftet den inn i listen over kjente, aktivt utnyttede sårbarheter (Known Exploited Vulnerabilities, KEV), med frist 21. mars for føderale virksomheter i USA.
Når en CVE havner i KEV, er det som regel et tegn på at trusselaktører allerede bruker den i praksis. CISA oppgir ikke alltid detaljer om kampanjene, men signalet til forsvarssiden er tydelig: dette er ikke en hypotetisk risiko.
I samme varsel anbefaler CISA at virksomheter følger leverandørens tiltak umiddelbart, også utenfor føderal sektor. Selv om BOD 22-01 formelt gjelder amerikanske føderale etater, blir KEV-katalogen brukt bredt som prioriteringsverktøy i private og offentlige miljøer globalt.
Hvorfor SharePoint fortsatt er et attraktivt mål
SharePoint er dypt integrert i dokumentflyt, intranett og samarbeidsprosesser i mange store organisasjoner. Når en kritisk RCE-feil blir aktivt utnyttet, er konsekvensene ofte større enn selve serveren:
- angripere kan få fotfeste i sentrale systemer
- kompromitterte SharePoint-miljøer kan brukes til videre lateral bevegelse
- dokument- og identitetsnære tjenester kan gi høy verdi for både spionasje og løsepengeoperasjoner
Historisk har servernære samarbeidsplattformer vært attraktive fordi de kombinerer høy tilgjengelighet med tilgang til sensitivt innhold. For sikkerhetsteam betyr dette at patching må kombineres med ekstra overvåking av mistenkelig aktivitet på server og i tilhørende kontoer.
Praktiske prioriteringer for drift og sikkerhet
For virksomheter som fortsatt kjører on-prem SharePoint, er det tre tiltak som peker seg ut nå:
1. Verifiser patch-nivå for alle berørte SharePoint-installasjoner, inkludert sekundære og mindre synlige miljøer.
2. Se etter tegn på kompromittering i perioden før patching, ikke bare etter at oppdateringen er installert.
3. Koble hendelsen til eksisterende sårbarhetsstyring slik at KEV-oppføringer automatisk får høyeste prioritet.
Mange virksomheter har gode rutiner for månedlige oppdateringer, men KEV-saker krever ofte en mer hendelsesdrevet modell. Det viktigste er å redusere tidsvinduet mellom offentlig kjent utnyttelse og full utrulling av tiltak.
Hvorfor saken har høy nyhetsverdi nå
Det som gjør denne saken viktig for 1t-lesere er kombinasjonen av tre faktorer: kritisk RCE i mye brukt enterprise-programvare, bekreftet aktiv utnyttelse, og tydelig myndighetspålegg om rask håndtering. Det er en type hendelse som direkte påvirker prioriteringer i SOC, IT-drift og risikostyring samme dag.
Dette er også et eksempel på hvorfor mange sikkerhetsteam nå bruker KEV som operativ styringsliste, ikke bare som referanse. Når trusselbildet endrer seg raskt, blir kjerneoppgaven å prioritere riktig – og tidlig.