La CISA vient d’alerter sur l’exploitation active d’une faille SharePoint Server corrigée en mai dernier. Elle permet à un attaquant authentifié d’exécuter du code à distance sur un serveur vulnérable.

Cette faille Microsoft SharePoint est désormais exploitée par des hackers, il est urgent de la corriger. © Ascannio / Shutterstock
Cette faille Microsoft SharePoint est désormais exploitée par des hackers, il est urgent de la corriger. © Ascannio / Shutterstock

Microsoft a corrigé la faille depuis plusieurs semaines, mais elle vient de franchir une nouvelle étape. La CISA, l’agence américaine chargée de la cybersécurité et des infrastructures critiques, vient d’ajouter CVE-2026-45659 (CVSS 8.8) à son catalogue des vulnérabilités exploitées dans des attaques réelles. Pour les organisations qui utilisent encore un serveur SharePoint exposé et non corrigé, la priorité n’est donc plus à l’évaluation tranquille du risque, mais à l’application des correctifs.

Une faille exploitable sans privilèges administrateur

Dans le détail, CVE-2026-45659 touche SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. Il s’agit d’une faille d’exécution de code à distance liée à un problème de désérialisation de données non fiables, un type de bug qui peut permettre de faire exécuter des commandes à un serveur en lui soumettant des données piégées.

Seul léger réconfort : la vulnérabilité ne peut pas être exploitée par un attaquant anonyme. Il lui faut déjà un accès valide au serveur SharePoint visé. Un prérequis qui n’a toutefois rien d’insurmontable en entreprise, où les comptes compromis restent un point d’entrée classique pour les attaquants.

Surtout, Microsoft précise qu’il n’est pas nécessaire de disposer de privilèges administrateur. De simples droits Site Member peuvent suffire à déclencher l’exploitation à distance, sans interaction de la victime.

Une mise à jour urgente pour les serveurs exposés

La CISA n’a pas donné davantage de détails sur les attaques observées, ni sur les groupes exploitant la faille. De son côté, Microsoft a publié les correctifs nécessaires le 21 mai dernier pour SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition.

L’urgence concerne les serveurs qui n’auraient pas encore reçu les patchs, en particulier lorsqu’ils sont exposés sur Internet. Shadowserver en recense encore aujourd’hui près de 10 000 en ligne, sans que l’on sache combien sont réellement à jour.

Les administrateurs IT doivent donc installer les derniers correctifs SharePoint, vérifier l’exposition publique des serveurs, limiter les accès inutiles depuis Internet et contrôler les droits accordés aux utilisateurs sur les sites. Si un serveur vulnérable est resté accessible en ligne, il faut aussi rechercher des signes d’exploitation dans les journaux, vérifier les connexions et actions suspectes, révoquer les sessions douteuses et renouveler les identifiants concernés.

Microsoft SharePoint
  • Bonne intégration Microsoft 365
  • Gestion documentaire centralisée
  • Collaboration en temps réel
8 / 10
Foire aux questionsContenu généré par l’IA
Qu’est-ce qu’une vulnérabilité de « désérialisation de données non fiables » et pourquoi peut-elle mener à une exécution de code à distance ?

La désérialisation consiste à reconstruire en mémoire un objet à partir de données reçues (requête HTTP, fichier, message). Quand une application accepte ces données sans validation stricte, un attaquant peut parfois injecter une structure spécialement conçue pour déclencher l’exécution de méthodes ou de “gadgets” présents côté serveur. Le résultat peut aller jusqu’à l’exécution de code arbitraire (RCE), car la charge utile s’exécute dans le contexte du service applicatif. Ce type de faille est particulièrement dangereux sur des produits comme SharePoint, car la plateforme manipule beaucoup d’objets et de composants côté serveur. La mitigation passe généralement par des correctifs applicatifs (patch) et, côté admin, par la réduction de la surface d’attaque (exposition, comptes, permissions).

Que signifie « attaquant authentifié » et pourquoi des droits “Site Member” peuvent suffire pour compromettre un serveur SharePoint ?

« Authentifié » veut dire que l’attaquant doit disposer d’un compte valide (ou d’une session) pour accéder à la fonctionnalité vulnérable, même sans être administrateur. Dans SharePoint, un rôle comme “Site Member” donne souvent des capacités d’interaction (téléversement, modification de contenus, usage de certaines API ou web parts) suffisantes pour atteindre des points d’entrée complexes. Si la faille se situe dans une fonctionnalité accessible à ce niveau de droits, l’exploitation peut être possible sans élévation de privilèges préalable. En entreprise, obtenir un compte “basique” est un scénario courant via hameçonnage, réutilisation de mots de passe ou compromission d’un poste. D’où l’importance de limiter les permissions, de surveiller les comptes et d’appliquer les mises à jour côté serveur.

À quoi sert le catalogue KEV de la CISA et qu’implique l’ajout d’un CVE comme CVE-2026-45659 ?

Le catalogue KEV (Known Exploited Vulnerabilities) liste des failles pour lesquelles la CISA a des indices crédibles d’exploitation active dans la nature. L’ajout d’un CVE signale qu’on n’est plus dans le risque théorique ou “preuve de concept”, mais dans des attaques observées, ce qui change la priorité opérationnelle. Pour les agences fédérales américaines, cela s’accompagne généralement d’un délai de remédiation obligatoire ; pour les autres organisations, c’est un indicateur fort pour accélérer le patching. Concrètement, cela pousse à traiter la mise à jour, la réduction d’exposition Internet et la chasse aux traces d’intrusion (logs, sessions, comptes). C’est aussi un signal utile pour la gestion de risque : la probabilité d’exploitation augmente fortement une fois la faille cataloguée KEV.