SharePoint-haavoittuvuus CVE-2026-45659 on noussut yritysten kiireelliselle tarkistuslistalle, koska sitä on havaittu hyödynnettävän aktiivisesti tosielämän hyökkäyksissä. Kyse on Microsoft SharePoint Server -ympäristöihin liitetystä etäkoodin suorituksen riskistä, joka koskee erityisesti paikallisesti ylläpidettyjä SharePoint-palvelimia.
Yrityksille olennaista on erottaa kaksi asiaa toisistaan: pilvipohjainen SharePoint Online ja omaan palvelinympäristöön asennettu SharePoint Server. Tämän haavoittuvuuden käytännön huoli kohdistuu lähteiden mukaan ennen kaikkea paikallisiin SharePoint Server -asennuksiin, joissa päivitysten, internet-altistuksen, lokivalvonnan ja käyttöoikeuksien hallinta ovat organisaation omalla vastuulla.
Mitä tapahtui?
Yhdysvaltain kyberturvaviranomainen CISA on lisännyt Microsoft SharePoint Server -haavoittuvuuden Known Exploited Vulnerabilities eli KEV-luetteloonsa. KEV-luetteloon päätyminen tarkoittaa, että haavoittuvuutta ei pidetä enää vain teoreettisena riskinä, vaan sitä on havaittu hyödynnettävän käytännön hyökkäyksissä.
Useissa tiedoissa haavoittuvuus yksilöidään tunnisteella CVE-2026-45659. Joissain yhteyksissä on esiintynyt myös toinen tunniste, joten yritysten kannattaa varmistaa lopullinen CVE-tunnus, vaikutetut versiot ja korjausohjeet Microsoftin ja CISA:n alkuperäisistä tiedotteista ennen teknisiä päätöksiä.
Haavoittuvuutta kuvataan epäluotettavan datan deserialisointiin liittyväksi ongelmaksi. Käytännössä tämä voi mahdollistaa haitallisen koodin suorittamisen SharePoint-palvelimella verkon yli. Hyökkäyksen kerrotaan voivan edellyttää kelvollista käyttäjäpääsyä, esimerkiksi matalan tason Site Member -oikeutta, mikä tekee varastetuista tai kalastelluista tunnuksista erityisen merkittävän riskin.
Microsoftin kerrotaan julkaisseen korjaukset toukokuun 2026 tietoturvapäivitysten yhteydessä. CISA:n KEV-luettelointi 1. heinäkuuta 2026 nostaa kuitenkin päivityksen kiireellisyyttä, koska päivittämättömiä palvelimia vastaan on jo havaittu toimintaa.
Miksi SharePoint-palvelin on kiinnostava kohde?
SharePoint ei ole yrityksessä vain tiedostovarasto. Se toimii usein intranetin, projektidokumenttien, sopimusten, ohjeistusten, lomakkeiden ja sisäisten työtilojen keskuksena. Paikallisesti ylläpidetty SharePoint voi myös kytkeytyä muihin sisäverkon palveluihin, käyttäjähakemistoon ja integraatioihin.
Jos hyökkääjä saa suoritettua koodia haavoittuvalla SharePoint-palvelimella, seuraukset voivat olla laajoja. Mahdollisia riskejä ovat esimerkiksi:
- luottamuksellisten dokumenttien lukeminen tai kopiointi
- web shell -takaportin asentaminen palvelimelle
- palvelimen käyttäminen ponnahduslautana muuhun sisäverkkoon
- tunnusten, evästeiden tai istuntotietojen väärinkäyttö
- pysyvän pääsyn rakentaminen myöhempiä hyökkäyksiä varten
- liiketoimintakatko, jos palvelin joudutaan eristämään tai palauttamaan varmuuskopioista
CISA:n varoitus ei lähteiden mukaan vahvista, että tätä haavoittuvuutta olisi käytetty kiristyshaittaohjelmakampanjoissa. Etäkoodin suorituksen haavoittuvuudet ovat silti hyökkääjille arvokkaita, koska ne voivat avata tien alkuvaiheen pääsyyn, tunnusten keräämiseen ja myöhempään liikkumiseen verkossa.
Miten riski näkyy yrityksen arjessa?
Monessa pk-yrityksessä SharePoint Server on voinut jäädä taustalle, koska se on toiminut pitkään ilman näkyviä ongelmia. Palvelin saattaa olla ulkoverkosta saavutettava etätyön tai kumppanikäytön vuoksi, mutta sen päivitysmalli, lokien seuranta ja käyttöoikeudet eivät välttämättä ole samalla tasolla kuin liiketoimintakriittisissä tuotantojärjestelmissä.
Riski kasvaa erityisesti silloin, kun palvelin on internetiin näkyvissä, päivitykset ovat viivästyneet, käyttäjäoikeuksia ei ole siivottu tai kirjautumislokeja ei seurata aktiivisesti. Jos hyödyntäminen voi onnistua matalan tason käyttöoikeuksilla, yksittäinen kalasteltu käyttäjätunnus voi riittää hyökkäyksen käynnistämiseen.
Suomi Solutions auttaa tällaisissa tilanteissa käytännönläheisesti kartoittamalla, missä paikalliset Microsoft-palvelut sijaitsevat, mitkä niistä näkyvät internetiin ja millainen päivitys- sekä lokivalvontatilanne niissä on. Työ ei ala oletuksista, vaan inventaariosta, altistuksen tarkistamisesta ja konkreettisesta priorisoinnista.
Mitä yrityksen kannattaa tarkistaa nyt?
Ensimmäinen tehtävä on selvittää, onko organisaatiolla käytössä paikallinen Microsoft SharePoint Server. Tämä koskee erityisesti vanhempia ympäristöjä, omia intranet-ratkaisuja, asiakasportaaleja ja sisäisiä dokumenttijärjestelmiä, joita ei ole siirretty kokonaan pilvipalveluihin.
1. Varmista versiot ja päivitystaso
Tarkista, mitä SharePoint Server -versioita tuotannossa on ja onko Microsoftin toukokuun 2026 tietoturvapäivitykset asennettu. Päivityksen jälkeen kannattaa varmistaa myös palvelun toiminta, haavoittuvuuden korjauksen tila ja mahdolliset lisäohjeet Microsoftin tiedotteista.
2. Kartoita internet-altistus
Jos SharePoint-palvelin näkyy suoraan internetiin, riskitaso on selvästi korkeampi. Pääsyä kannattaa rajoittaa palomuurisäännöillä, VPN-vaatimuksella, käänteisvälityspalvelimen suojauksilla tai muulla verkon segmentoinnilla, jos julkinen saavutettavuus ei ole aidosti välttämätön.
3. Tarkista lokit ja poikkeamat
Päivittämättömille tai internetiin näkyville SharePoint-palvelimille kannattaa tehdä ensitarkastus. Etsi ainakin epäilyttäviä kirjautumisia, uusia tai muuttuneita tiedostoja sovellushakemistoissa, web shell -jälkiä, poikkeavia prosesseja, uusia ajastettuja tehtäviä ja epätavallista tiedostoliikennettä.
4. Siivoa käyttöoikeudet
Site Member -oikeudet ja muut peruskäyttäjän oikeudet kannattaa käydä läpi vähimmän oikeuden periaatteella. Vanhojen projektiryhmien, poistuneiden työntekijöiden, ulkoisten kumppanitilien ja tarpeettomien ylläpitoryhmien siivoaminen vähentää riskiä, että hyökkääjä voi käyttää pieneltä näyttävää tunnusta laajempaan vahinkoon.
5. Vahvista tunnistautumista ja valvontaa
Jos ympäristössä on viitteitä tunnusten vaarantumisesta, salasananvaihto, kirjautumistapahtumien tarkistus ja monivaiheisen tunnistautumisen varmistaminen ovat perusteltuja. Samalla kannattaa tarkistaa EDR-hälytykset, Active Directory -muutokset, ylläpitäjätilien luonti ja mahdolliset etähallintatyökalut, joita ei tunnisteta normaaliksi ylläpidoksi.
Suomi Solutions voi auttaa SharePoint- ja Microsoft 365 -ympäristöjä käyttäviä organisaatioita tekemään nopean vaikutusarvion, tarkistamaan palvelinympäristön näkyvyyden sekä muuttamaan havainnot korjaaviksi toimenpiteiksi. Tarvittaessa työ voidaan yhdistää laajempaan kyberturvan tarkistukseen, jossa katsotaan myös Linux-palvelimet, varmuuskopiot, tunnusten hallinta ja liiketoiminnan jatkuvuuden kannalta kriittiset riippuvuudet.
Päivitys ei yksin riitä, jos hyökkäys on jo ehtinyt tapahtua
Kun haavoittuvuus on lisätty aktiivisesti hyödynnettyjen haavoittuvuuksien luetteloon, pelkkä päivityksen asentaminen ei aina riitä. Jos palvelin on ollut haavoittuva ja näkyvissä internetiin, on syytä arvioida, onko sitä voitu käyttää jo ennen korjausta.
Käytännön varautuminen alkaa usein näkyvyydestä, päivityksistä ja vastuiden selkeydestä. Yrityksen kannattaa nimetä vastuuhenkilö SharePoint-tarkistukselle, dokumentoida päivitysten tila, ottaa talteen olennaiset lokit ja päättää etukäteen, miten toimitaan, jos palvelimelta löytyy merkkejä luvattomasta pääsystä.
Jos oma SharePoint-ympäristö, päivitysten tilanne tai hyökkäysjälkien tarkistus mietityttää, Suomi Solutions auttaa arvioinnissa, koventamisessa, valvonnan käytännön järjestämisessä ja jatkotoimien priorisoinnissa. Yhteyden saa helpoiten päätason sivuston kautta: https://suomisolutions.fi/
