La CISA alerte sur trois failles activement exploitées dans Microsoft SharePoint (update)
L’Agence américaine de cybersécurité CISA a renforcé son avertissement concernant les attaques visant des serveurs Microsoft SharePoint exploités localement. Des cybercriminels exploitent désormais activement trois failles de sécurité. Les entreprises sont invitées à installer rapidement les correctifs disponibles et à rechercher d’éventuels signes de compromission sur leurs systèmes.
Mise à jour du 16 juillet 2026: Des cybercriminels s’attaquent actuellement à des serveurs Microsoft SharePoint exploités localement en tirant parti de trois failles de sécurité connues. Toutes les versions on-premise encore prises en charge sont concernées: SharePoint Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition, indique l’Agence américaine de cybersécurité CISA dans un avis de sécurité.
Selon l’organisation de sécurité Shadowserver, près de 10'000 serveurs Microsoft SharePoint restent directement accessibles depuis Internet. Plus de 800 d’entre eux n’étaient récemment toujours pas protégés contre au moins deux des trois vulnérabilités activement exploitées, rapporte Bleeping Computer en se référant à Shadowserver. Le nombre de serveurs également vulnérables à la troisième faille n’est pas connu à ce jour.
Les attaquants peuvent établir une présence persistante
Les trois vulnérabilités sont référencées sous les identifiants CVE-2026-32201, CVE-2026-45659 et CVE-2026-56164. Selon la CISA, elles permettent aux attaquants de contourner les mécanismes d’authentification, d’exécuter du code malveillant à distance et de maintenir une présence persistante sur les systèmes compromis. Après une attaque réussie, ils peuvent notamment dérober des clés machine IIS, des clés cryptographiques du serveur web Microsoft Internet Information Services (IIS), puis installer d’autres logiciels malveillants. La CISA a désormais ajouté les trois vulnérabilités à son catalogue des failles de sécurité activement exploitées.
La CISA recommande aux organisations d’installer toutes les mises à jour de sécurité disponibles, de vérifier que leur déploiement a bien abouti et de surveiller étroitement les serveurs concernés afin de détecter toute activité suspecte. Elles devraient également activer l’intégration de l’Antimalware Scan Interface (AMSI) pour les applications web SharePoint. Cette interface permet aux logiciels de sécurité d’analyser les contenus et les requêtes afin d’y détecter du code malveillant.
L’agence conseille en outre de ne pas exposer directement les serveurs SharePoint à Internet, sauf nécessité absolue. Lorsqu’un accès externe est indispensable, les organisations devraient placer les serveurs derrière un reverse proxy imposant une authentification et capable d’inspecter et de filtrer les requêtes au niveau applicatif. La CISA recommande également de bloquer l’accès externe à l’administration centrale de SharePoint et de limiter au strict nécessaire les communications avec les bases de données et les autres systèmes.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
News du 3 juillet 2026: Une vulnérabilité critique dans Microsoft SharePoint attire l’attention des cybercriminels. L’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la faille à son catalogue des vulnérabilités activement exploitées, rapporte Bleeping Computer.
Référencée sous l’identifiant CVE-2026-45659, la faille concerne SharePoint Enterprise Server 2016, SharePoint Server 2019 ainsi que SharePoint Server Subscription Edition. Selon Microsoft, les attaquants n’ont besoin que d’un compte utilisateur doté des droits minimaux d’un membre de site. Des droits d’administrateur ne sont pas nécessaires. La vulnérabilité pouvant être exploitée via le réseau, des attaquants peuvent en principe injecter du code malveillant par internet si un serveur SharePoint est accessible publiquement.
Correctif publié en mai
Sur le plan technique, la faille est liée à une désérialisation de données non fiables. En termes simples, SharePoint ne traite pas de manière suffisamment sécurisée des paquets de données manipulés. Des attaquants peuvent ainsi exécuter leur propre code sur le serveur. Le National Institute of Standards and Technology (NIST), l’agence américaine qui exploite notamment la base nationale des vulnérabilités NVD, décrit la faille comme une possibilité pour des attaquants autorisés d’exécuter du code malveillant via le réseau.
Microsoft a publié la mise à jour de sécurité le 21 mai 2026. Selon l’entreprise, la vulnérabilité avait été omise par erreur dans les mises à jour de sécurité initiales de mai. Microsoft l’a donc documentée a posteriori et a complété son avis de sécurité. Dans sa FAQ, l’entreprise précise aussi que les organisations utilisant SharePoint Server 2016 doivent installer la mise à jour pour SharePoint Enterprise Server 2016, car le même numéro Knowledge Base (KB), utilisé par Microsoft pour identifier une mise à jour donnée, protège les deux variantes du produit.
Selon les recherches de Bleeping Computer, l’organisation de sécurité à but non lucratif Shadowserver recense encore plus de 10’000 serveurs SharePoint accessibles publiquement. On ignore toutefois combien d’exploitants ont depuis sécurisé leurs serveurs contre cette vulnérabilité.
La CISA met la pression sur les autorités
La CISA a demandé aux agences fédérales américaines de corriger la vulnérabilité d’ici au 4 juillet 2026 au plus tard, ou de mettre en œuvre les mesures de protection recommandées par Microsoft. Dans son alerte, l’agence décrit ce type de vulnérabilité SharePoint comme un vecteur d’attaque fréquent. Depuis 2021, la CISA a déjà ajouté à son catalogue onze failles SharePoint dont l’exploitation active a été confirmée. Sept d’entre elles ont aussi été utilisées dans des attaques par ransomware, selon l’agence.
Bleeping Computer rappelle en outre que Microsoft avait déjà dû corriger en avril une vulnérabilité SharePoint que des attaquants exploitaient activement comme zero day, c’est-à-dire avant la publication d’un correctif de sécurité. Ces nouvelles attaques montrent que les serveurs SharePoint exploités localement restent des cibles privilégiées des cybercriminels.