CVE-2026-32201 : 1300 SharePoint exposés au 1er mai

Ce qui s'est passé

Microsoft a publié, dans le cadre de son Patch Tuesday d'avril 2026, un correctif d'urgence pour CVE-2026-32201, une vulnérabilité de spoofing affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. Au 1er mai, soit deux semaines après la disponibilité du correctif, le scanner Shadowserver dénombre encore 1 312 instances SharePoint accessibles publiquement et toujours vulnérables, dont 412 en Amérique du Nord, 386 en Europe et 198 en Asie-Pacifique. Pour la France, 47 serveurs identifiés restent exposés, principalement chez des intégrateurs régionaux et des collectivités territoriales n'ayant pas appliqué les correctifs Patch Tuesday d'avril.

La vulnérabilité provient d'une validation insuffisante des entrées au niveau du module d'authentification déléguée de SharePoint. Un attaquant non authentifié peut forger une requête HTTP spécialement conçue qui amène le serveur à interpréter le requérant comme un utilisateur légitime de l'organisation, sans nécessiter de credentials valides ni d'interaction de la victime. La faille a été exploitée comme zero-day avant la publication du correctif, avec des campagnes ciblées observées dès la mi-avril contre des organisations exposant SharePoint via VPN ou directement via Internet. Le score CVSS s'élève à 8.8 avec un vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N : exploitation réseau, complexité faible, sans privilèges et sans interaction.

L'impact pratique observé par les équipes Mandiant et Volexity, qui ont co-publié un rapport conjoint le 28 avril, est triple : extraction de documents confidentiels stockés dans des bibliothèques SharePoint internes, modification silencieuse de pages d'accueil et de workflows pour rediriger les utilisateurs vers des pages de phishing internes, et déploiement de webshells persistants masqués dans les répertoires _layouts/ ou FormServerTemplates/. Plusieurs organisations ciblées ont vu des attaquants pivoter depuis SharePoint vers Active Directory en exploitant les comptes de service privilégiés que SharePoint utilise traditionnellement pour ses opérations de search crawling.

L'attribution reste partiellement floue. Mandiant a corrélé une partie des intrusions avec UNC5174, un groupe affilié à la Chine déjà connu pour cibler les infrastructures de collaboration occidentales, mais Volexity rapporte également une exploitation par des acteurs criminels russophones, vraisemblablement en quête d'accès initiaux à revendre sur des forums underground. Ce double profil d'exploitants, étatique et criminel, est typique des vulnérabilités dont la simplicité d'exploitation publique fait rapidement le tour des canaux Telegram dédiés à la cybercriminalité. Un PoC fonctionnel circule librement sur GitHub depuis le 24 avril, ce qui explique l'accélération marquée du nombre de tentatives détectées par les WAF et SIEM des éditeurs majeurs.

La CISA a ajouté CVE-2026-32201 à son catalogue Known Exploited Vulnerabilities (KEV) le jour même de la publication du patch, et a émis une directive opérationnelle imposant aux agences fédérales civiles (FCEB) de patcher leurs serveurs SharePoint sous quatorze jours, soit avant le 28 avril. Cette deadline étant désormais largement dépassée, la CISA prépare un audit de conformité qui pourrait déboucher sur des mesures correctrices contraignantes pour les agences encore vulnérables. Côté français, l'ANSSI a publié son alerte CERT-FR-2026-AVI-0312 le 16 avril, classifiée en risque critique, et appelle les administrations à isoler immédiatement leurs serveurs SharePoint non patchés du reste du système d'information.

Le correctif Microsoft modifie la routine de validation des tokens d'authentification déléguée pour ajouter une vérification stricte de la cohérence entre l'émetteur du token, le ServicePrincipalName de la requête et la signature cryptographique attendue. La mise à jour est embarquée dans les Cumulative Updates KB5037321 (SharePoint 2016), KB5037316 (SharePoint 2019) et KB5037310 (Subscription Edition). Microsoft précise qu'aucun workaround n'est disponible : seule l'application du patch corrige effectivement la vulnérabilité, et les configurations IIS personnalisées peuvent en théorie partiellement réduire la surface d'attaque sans l'éliminer.

Plusieurs facteurs expliquent le retard de patching observé. SharePoint Server reste une plateforme critique dans de nombreuses organisations, hébergeant des intranets, des workflows métier et des bibliothèques documentaires dont l'interruption nécessite des fenêtres de maintenance planifiées plusieurs semaines à l'avance. Les équipes IT sont également confrontées à des dépendances complexes avec des solutions tierces (Nintex, K2, ShareGate) dont la compatibilité avec les Cumulative Updates n'est pas toujours immédiate. Enfin, certaines organisations gardent encore des installations SharePoint 2016, dont le support étendu se termine le 14 juillet 2026, et qui sont régulièrement laissées sans mises à jour faute de budget.

En complément des Cumulative Updates, Microsoft recommande d'activer l'Antimalware Scan Interface (AMSI) sur les serveurs SharePoint, fonctionnalité disponible depuis la mise à jour de septembre 2023, qui permet à Defender for Endpoint d'inspecter les requêtes web suspectes avant qu'elles n'atteignent le pipeline d'authentification. L'éditeur recommande également de procéder à une rotation immédiate des clés machine ASP.NET sur tous les serveurs frontaux, opération réalisable via l'applet PowerShell Update-SPMachineKey, afin d'invalider les éventuels tokens forgés par des attaquants pendant la fenêtre de zero-day.

Pourquoi c'est important

L'exploitation prolongée de CVE-2026-32201 confirme une tendance lourde : les vulnérabilités sur les plateformes de collaboration on-premise constituent désormais l'un des vecteurs d'intrusion les plus rentables pour les attaquants, qu'ils soient étatiques ou criminels. SharePoint, Exchange, Confluence et SharePoint sont historiquement sous-patchés par rapport aux postes de travail, parce qu'ils hébergent des charges critiques que les DSI hésitent à interrompre. Les attaquants l'ont compris depuis longtemps : la chaîne d'incidents Hafnium en 2021, ProxyShell, ProxyNotShell, ToolShell ou plus récemment SharePointR (CVE-2026-31019) en mars dernier, illustrent une logique constante d'exploitation des serveurs collaboratifs comme tête de pont vers Active Directory.

Pour les RSSI, l'épisode rappelle l'urgence de mettre en place une procédure de patch d'urgence dédiée pour les serveurs exposés à Internet, distincte du cycle de patching standard. Le délai médian observé entre la publication d'un PoC public et l'exploitation massive est désormais inférieur à 72 heures, et les équipes sécurité ne peuvent plus se permettre de fenêtres de patching mensuelles pour des actifs critiques exposés. La pratique recommandée par l'ANSSI et le NCSC britannique consiste à isoler ces serveurs derrière un proxy applicatif (WAF) ou une passerelle Zero Trust capable d'inspecter les requêtes pré-authentification, créant un délai supplémentaire pour patcher.

L'incident soulève également la question de l'exposition des serveurs SharePoint à Internet. Microsoft recommande depuis plus de cinq ans que SharePoint Server soit accessible uniquement via un VPN ou une solution Zero Trust comme Microsoft Entra Application Proxy, mais de nombreuses organisations continuent d'exposer leurs serveurs publiquement pour des raisons d'usage (accès depuis l'extérieur, intégration avec des partenaires). Les chiffres Shadowserver montrent que cette pratique reste répandue, et qu'elle multiplie le risque par un facteur considérable lors de chaque divulgation de vulnérabilité critique. La migration vers SharePoint Online (Microsoft 365) supprime structurellement ce risque, puisque le patching est géré par Microsoft, mais elle reste un projet pluriannuel pour les grandes organisations.

Enfin, l'annonce de la fin du support de SharePoint Server 2016 le 14 juillet 2026 doit servir de signal d'alarme : les organisations qui hébergeront encore cette version après cette date n'auront plus de patch sécurité, même pour des vulnérabilités critiques équivalentes à CVE-2026-32201. Le reste du calendrier Microsoft pour la plateforme on-premise (SharePoint 2019 fin de support en 2026, Subscription Edition uniquement maintenue) confirme une stratégie d'éditeur clairement orientée vers le SaaS. Toute organisation conservant une installation on-premise doit budgéter dès maintenant soit la migration vers SharePoint Online, soit une opération coûteuse de maintien en condition opérationnelle hors support officiel.

Ce qu'il faut retenir

• Appliquez sans délai les Cumulative Updates KB5037321 (SP2016), KB5037316 (SP2019) ou KB5037310 (Subscription Edition) sur l'ensemble de vos serveurs SharePoint Server.
• Procédez à la rotation des clés machine ASP.NET via Update-SPMachineKey pour invalider les éventuels tokens d'authentification forgés pendant la fenêtre de zero-day.
• Retirez vos serveurs SharePoint de l'exposition Internet directe et placez-les derrière une passerelle Zero Trust ou Microsoft Entra Application Proxy.
• Auditez les répertoires _layouts/ et FormServerTemplates/ à la recherche de webshells, et passez en revue les comptes de service SharePoint pour détecter d'éventuels pivots vers AD.