BlueOnyx
CybersécuritéSharePointInfrastructureRSSIPatch Management

Un bug SharePoint sous-estimé par Microsoft, désormais exploité en production

Blue OnyxPublié le 4 juillet 20265 min de lecture
Cadenas rouge sur clavier noir, symbole de faille de sécurité

Un jugement de Microsoft contredit par les faits

En mai 2026, Microsoft publiait en urgence un correctif hors-cycle pour SharePoint Server et évaluait l'exploitation de la faille CVE-2026-45659 comme « peu probable ». Le 2 juillet, la CISA a invalidé cet optimisme en ajoutant la vulnérabilité à son catalogue KEV — Known Exploited Vulnerabilities —, confirmation d'attaques actives documentées en milieu réel.

Un score CVSS de 8.8 aurait dû inciter à plus de vigilance. Le problème de fond : un bug de désérialisation de données non fiables (CWE-502) dans le moteur de traitement de SharePoint Server. Concrètement, l'attaque exploite un endpoint qui reconstruit des objets sérialisés en mémoire sans validation adéquate. Un acteur malveillant peut y injecter une chaîne de gadgets .NET pour déclencher l'exécution de code arbitraire côté serveur — sans interaction visible depuis l'extérieur.

Des droits ordinaires pour un impact maximal

Ce qui amplifie la dangerosité du vecteur pour les équipes système : le niveau de privilège requis est minimal. Un compte disposant des droits « Site Member » — le niveau standard de tout collaborateur actif sur la plateforme — suffit à lancer l'exploit. Pas de compte administrateur, pas de compromission préalable du domaine Active Directory.

Les versions concernées couvrent l'essentiel du parc SharePoint on-premises : SharePoint Server 2016 Enterprise, SharePoint Server 2019 et SharePoint Server Subscription Edition. Les environnements SharePoint Online (Microsoft 365) ne sont pas exposés. La faille cible les instances locales, souvent au cœur des référentiels documentaires, portails intranet et espaces collaboratifs d'entreprise.

Trois jours pour les fédéraux, un signal pour tous

Appliquant sa directive BOD 26-04, la CISA a imposé aux agences fédérales américaines un délai de remédiation de trois jours, avec échéance fixée au 4 juillet 2026 — un calendrier qui traduit l'urgence réelle de la menace. Dans un environnement on-premises, un serveur SharePoint non corrigé constitue un vecteur de mouvement latéral redoutable pour un attaquant déjà présent sur le réseau interne, ou opérant depuis un compte utilisateur compromis.

Pour les organisations françaises et européennes, aucune obligation réglementaire équivalente ne s'applique à ce stade. Mais la logique reste identique : la surface d'attaque interne est directement proportionnelle au nombre de comptes actifs sur SharePoint — soit potentiellement l'ensemble du personnel de l'organisation.

Ce que les équipes IT doivent faire maintenant

Trois actions s'imposent sans délai. D'abord, inventorier précisément les instances SharePoint Server on-premises : les environnements partiellement migrés vers le cloud ou oubliés après un projet de consolidation constituent des angles morts courants. Ensuite, appliquer le correctif Microsoft de mai 2026, disponible pour chacune des trois versions affectées.

Enfin, renforcer la supervision des activités anormales sur les instances concernées : requêtes inhabituelles sur les endpoints de traitement sérialisé, processus enfants inattendus générés par les workers IIS, connexions sortantes non planifiées depuis le serveur SharePoint.

Cet épisode illustre une fragilité structurelle de la gestion des correctifs hors-cycle : lorsque l'éditeur sous-estime lui-même la probabilité d'exploitation, les équipes terrain n'ont d'autre repère fiable que le score de sévérité brut et la nature du composant exposé. Un CVSS de 8.8 sur une infrastructure aussi centrale dans les systèmes d'information internes méritait une réponse immédiate — pas une réévaluation forcée par des attaques réelles.

Partager