CVE-2026-20963, RCE sans authentification dans Microsoft SharePoint Server, est activement exploitée en mars 2026. La CISA l'a ajoutée à son catalogue KEV le 18 mars avec une deadline imposée aux agences fédérales US au 21 mars 2026.
En bref
- CVE-2026-20963 : Remote Code Execution sans authentification dans Microsoft SharePoint Server (2016, 2019, Subscription)
- Patch disponible depuis le 13 janvier 2026 — initialement classé "peu probable d'être exploité" par Microsoft
- Ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 18 mars 2026
CVE-2026-20963 est une vulnérabilité d'exécution de code à distance sans authentification affectant plusieurs versions de Microsoft SharePoint Server. Corrigée lors du Patch Tuesday de janvier 2026, elle avait été classée par Microsoft comme "peu probable d'être exploitée" — une évaluation rapidement contredite par les attaquants. Deux mois après la publication du patch, la faille est activement exploitée dans des campagnes réelles documentées. Elle repose sur une désérialisation de données non fiables dans le moteur de traitement des requêtes SharePoint : un attaquant non authentifié envoie une requête HTTP spécialement forgée et obtient une exécution de code arbitraire sur le serveur, sans aucune interaction des utilisateurs légitimes. La CISA a ajouté CVE-2026-20963 à son catalogue Known Exploited Vulnerabilities le 18 mars 2026, en imposant une deadline de remédiation au 21 mars pour toutes les agences fédérales américaines. Les serveurs SharePoint sont des cibles particulièrement attractives : ils hébergent des données stratégiques et servent souvent de passerelle vers l'ensemble du réseau d'entreprise, y compris les systèmes Active Directory, les partages de fichiers sensibles et les pipelines d'automatisation métier. Toute organisation maintenant un serveur SharePoint on-premise exposé à Internet sans patch appliqué doit traiter cette situation comme une urgence de niveau critique.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
Les faits
Microsoft a publié le correctif de CVE-2026-20963 lors du Patch Tuesday de janvier 2026, accompagné d'une évaluation de risque "exploitation improbable". Cette classification a conduit de nombreuses équipes IT à déprioritiser ce patch face au volume mensuel de correctifs Microsoft — un comportement rationnel mais dont les conséquences sont désormais visibles. Dès mars 2026, des exploits fonctionnels sont observés en conditions réelles. Le 18 mars, la CISA a mis à jour son catalogue KEV pour y inclure CVE-2026-20963. Les versions affectées sont SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) n'est pas concerné, Microsoft gérant directement les mises à jour de ce service. Les détails techniques complets sont disponibles sur le Microsoft Security Response Center.
Impact et exposition
Les serveurs SharePoint on-premise sont omniprésents dans les grandes entreprises, administrations et collectivités. Une compromission via CVE-2026-20963 donne à l'attaquant un accès aux documents stratégiques, aux sites d'équipe, aux workflows métier et souvent aux identités Active Directory via l'intégration SharePoint. Le risque est amplifié par l'exposition fréquente des portails SharePoint sur Internet pour les accès distants. Dans le contexte d'une architecture Zero Trust, les serveurs SharePoint exposés sans couche de protection supplémentaire représentent un risque inacceptable. Un programme structuré de triage des vulnérabilités par criticité opérationnelle aurait dû remonter ce patch en priorité malgré la classification initiale de Microsoft. Les équipes maintenant un MFA résistant au phishing réduisent le rayon d'impact d'une compromission SharePoint mais ne se substituent pas au patch. Les signaux d'attaque observés sont similaires aux compromissions sans malware signalées par le CERT-FR.
Recommandations
- Appliquer immédiatement le patch Microsoft SharePoint de janvier 2026 — en priorité absolue sur les serveurs exposés à Internet
- Vérifier les journaux d'accès SharePoint pour toute activité suspecte depuis le 13 janvier 2026
- Restreindre l'exposition Internet des portails SharePoint via un reverse proxy authentifié ou un WAF
- Activer les alertes SIEM sur les patterns de requêtes SharePoint anormaux
- Intégrer les IOC disponibles via CISA KEV dans les outils de détection
Alerte — Exploitation active confirmée, deadline CISA dépassée
La CISA imposait une remédiation au 21 mars 2026 pour les agences fédérales US. Si le patch SharePoint de janvier 2026 n'est pas encore appliqué dans votre organisation, votre exposition est réelle et confirmée. La classification initiale "peu probable" de Microsoft ne reflète plus la réalité du terrain.
SharePoint Online (Microsoft 365) est-il affecté par CVE-2026-20963 ?
Non. CVE-2026-20963 n'affecte que les déploiements on-premise de SharePoint Server (versions 2016, 2019 et Subscription Edition). SharePoint Online, inclus dans Microsoft 365, est géré directement par Microsoft qui y applique les correctifs de façon transparente. Si votre organisation est entièrement sur Microsoft 365 sans serveur SharePoint on-premise, vous n'êtes pas exposé à cette vulnérabilité spécifique. En revanche, le Microsoft Security Response Center publie régulièrement des advisories pour les composants SharePoint Online — restez vigilants sur ces bulletins et sur les mises à jour de votre configuration Entra ID.
Points clés à retenir
- CVE-2026-20963 : RCE sans authentification dans SharePoint on-premise — patch disponible depuis janvier 2026
- La classification initiale "peu probable" de Microsoft a provoqué un retard de patch chez de nombreuses organisations
- Ajoutée au catalogue KEV CISA le 18 mars 2026 — exploitation active en conditions réelles confirmée
- SharePoint Online (Microsoft 365) n'est pas concerné — uniquement les installations on-premise
Comment savoir si mon système est vulnérable à CVE-2026-20963 ?
Pour déterminer votre exposition, inventoriez toutes les instances de SharePoint Server dans votre environnement, y compris les versions utilisées. Comparez-les aux versions affectées dans l'avis officiel du fournisseur. Les outils de vulnerability scanning comme Tenable Nessus, Qualys ou OpenVAS proposent généralement des plugins de détection dans les 24-48h suivant la publication d'un CVE critique. Un scan ciblé sur le port et le service concerné permet de confirmer l'exposition.
Que faire si le patch ne peut pas être appliqué immédiatement ?
En cas d'impossibilité de patcher rapidement, plusieurs mesures de mitigation permettent de réduire le risque : isoler les systèmes vulnérables derrière un pare-feu applicatif (WAF), restreindre les accès réseau au strict nécessaire, désactiver les fonctionnalités exposées si possible, et renforcer la surveillance des logs pour détecter toute tentative d'exploitation. Un plan de patch d'urgence doit être déclenché dans les 72h suivant la confirmation de l'exploitation active.
Est-ce que CVE-2026-20963 est activement exploitée dans des attaques réelles ?
Oui — les preuves d'exploitation active ont été confirmées. Des groupes de ransomware et d'APT ont intégré ce vecteur dans leurs chaînes d'attaque. L'exploitation active signifie que le risque n'est plus théorique : toute organisation exposée doit traiter ce correctif comme une priorité absolue indépendamment de ses cycles de maintenance habituels. Consulter le catalogue CISA KEV pour suivre l'état d'exploitation confirmée.
Article suivant recommandé
CVE-2026-33017 Langflow RCE : Exploité en Moins de 20h →CVE-2026-33017, CVSS 9.3 dans la plateforme d'orchestration LLM Langflow, exploitée en moins de 20 heures après divulgat
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
PANAME : la CNIL outille la conformité IA Act des modèles
La CNIL, l'ANSSI, le PEReN et Inria développent PANAME, bibliothèque open source d'audit RGPD des modèles IA, en amont de l'AI Act du 2 août 2026.
78 557 licenciements tech au Q1 2026, dont 48 % dus à l'IA
L'industrie tech a supprimé 78 557 emplois au premier trimestre 2026, dont près de la moitié directement attribués au remplacement par l'IA et l'automatisation.
Pushpaganda : Google Discover détourné par IA pour du scareware
HUMAN Satori dévoile Pushpaganda, campagne qui exploite Google Discover et le contenu généré par IA pour diffuser scareware via notifications navigateur. Analyse technique et défenses.
Commentaires (1)
Laisser un commentaire