CVE-2026-40365 : RCE SharePoint Server 2019 par désérialisation

Les faits

Microsoft a publié le 13 mai 2026 le correctif KB5002870 pour SharePoint Server 2019, qui adresse notamment la vulnérabilité CVE-2026-40365, une faille critique d'exécution de code à distance documentée dans le Microsoft Security Update Guide. La faille est référencée dans la synthèse Patch Tuesday de Cisco Talos, BleepingComputer, Cybersecurity News et le blog Tenable. Le score CVSS 3.1 attribué par Microsoft est de 8.8 (vecteur AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), bien que certaines analyses tierces – notamment Windows News – avancent un score de 9.8 lorsqu'on évalue l'attaque depuis un attaquant non authentifié via certains scénarios de chaînage. Microsoft classe la vulnérabilité en CWE-1220 (Insufficient Granularity of Access Control), une classification qui souligne la gestion défaillante des contrôles d'accès sur les endpoints concernés.

La chronologie de la découverte n'est que partiellement publique. Microsoft attribue la remontée à un chercheur anonyme participant au programme Microsoft Security Response Center. La vulnérabilité a été soumise à divulgation coordonnée et corrigée dans le cycle de mai 2026. Aucune exploitation in-the-wild n'est confirmée à la date de divulgation, et la matrice Microsoft classe la vulnérabilité en « Exploitation More Likely ». Cette classification, conjuguée à la disponibilité massive d'outils publics de génération de payload .NET (ysoserial.net, FocalPoint), indique aux RSSI qu'un exploit fonctionnel peut être assemblé en quelques heures par un attaquant motivé.

Sur le plan technique, la chaîne d'exploitation suit un schéma désormais classique pour SharePoint. L'attaquant envoie une requête HTTP POST vers un endpoint web service SharePoint, contenant dans son corps un objet .NET sérialisé. Ce payload, lorsqu'il est désérialisé par le moteur SharePoint, déclenche une chaîne de gadgets aboutissant à l'exécution de commandes arbitraires sous l'identité du compte de service applicatif SharePoint (typiquement NT SERVICE\SPTimerV4 ou un compte AD dédié comme SP_Farm). La racine du problème est l'utilisation, dans certains chemins de code, de BinaryFormatter ou SoapFormatter sans validation de type, combinée à un contrôle d'accès insuffisamment granulaire qui permet à des comptes utilisateurs sans privilège élevé d'atteindre l'endpoint vulnérable.

Le vecteur d'exploitation reste authentifié dans la documentation Microsoft (PR:L), mais l'analyse de Cisco Talos et Windows News souligne qu'il est probable que des chemins de chaînage avec d'autres vulnérabilités SharePoint connues permettent d'atteindre une exploitation pré-authentification dans certains déploiements mal configurés – notamment lorsque l'authentification anonyme est partiellement autorisée sur des sous-sites pour des intégrations tierces, configuration encore observée dans les déploiements legacy. Le précédent de la chaîne ToolShell (CVE-2025-49706 + CVE-2025-49704) en 2025, qui avait combiné contournement d'authentification et désérialisation SharePoint, illustre ce risque.

Aucun PoC public n'est diffusé à la date du 14 mai 2026. Toutefois, la chaîne ysoserial.net (TypeConfuseDelegate, ObjectDataProvider et autres gadgets) est utilisable directement pour générer le payload une fois identifié l'endpoint vulnérable. Cisco Talos a publié, le 12 mai 2026, des règles Snort spécifiques pour détecter les payloads malveillants visant les endpoints SharePoint typiques (/_layouts/15/, /_vti_bin/, /_api/), illustrant la simplicité d'ingénierie d'un exploit utilisable à grande échelle.

Microsoft a publié des correctifs distincts pour chaque édition SharePoint : KB5002870 pour SharePoint Server 2019, KB5002872 pour SharePoint Server Subscription Edition. SharePoint Server 2016 atteindra sa fin de support étendu en juillet 2026 et reçoit également un correctif KB5002868 dans ce cycle. SharePoint Online (la version SaaS hébergée par Microsoft) n'est pas affectée : Microsoft a déployé le correctif sur ses tenants cloud avant la divulgation publique. Les administrateurs on-prem doivent appliquer le patch via la procédure standard de mise à jour cumulative SharePoint, incluant la phase de mise à jour du schéma de base de données (PSConfig.exe) après l'installation des binaires – étape parfois omise qui maintient l'instance dans un état vulnérable malgré l'installation du binaire.

Le contexte du Patch Tuesday de mai 2026 est exceptionnellement chargé : 137 CVE corrigés au total, dont 17 critiques. SharePoint figure parmi les produits les plus touchés avec CVE-2026-40365 et CVE-2026-33112, ce dernier étant également une RCE SharePoint dans le même cycle. Le ZDI et CrowdStrike, dans leurs analyses respectives du 12 et 13 mai 2026, recommandent d'appliquer KB5002870 immédiatement et de considérer les deux failles SharePoint comme un cluster unique à patcher en bloc. Le CERT-FR, dans CERTFR-2026-AVI-0540, a relayé ces priorités auprès des administrations françaises.

Une note importante concerne le scénario d'exposition internet : selon les statistiques agrégées par Shadowserver Foundation, plus de 6 800 serveurs SharePoint 2019 sont exposés en direct sur internet à la date du 14 mai 2026. Cette exposition externe, combinée à un correctif fraîchement publié, constitue un terrain idéal pour les opérations de masse menées par les groupes ransomware ; SharePoint a historiquement été la cible privilégiée d'opérations de type Conti, BlackBasta et plus récemment Akira, qui exploitent systématiquement les RCE SharePoint nouvellement divulguées.

Impact et exposition

L'exposition est élevée. SharePoint Server 2019 est encore massivement déployé dans les grandes entreprises européennes, le secteur public, et les organisations soumises à des exigences de souveraineté ou de classification de données. Une compromission permet l'exfiltration de référentiels documentaires entiers (collaborations stratégiques, contrats, données RH, dossiers médicaux dans le secteur santé), la latéralisation vers l'Active Directory et la transformation potentielle en compromission de domaine complète.

Les conditions d'exploitation favorisent à la fois les acteurs ciblés (APT, ransomware spécialisés) et les opérations de masse opportunistes. Pour un attaquant disposant d'un compte utilisateur basique, la barrière technique est faible une fois l'exploit assemblé. Pour un attaquant externe, la combinaison avec une faille de contournement d'authentification (vol de token, session hijacking) suffit à transformer la faille en RCE pré-authentification, comme l'a démontré la chaîne ToolShell de 2025.

L'exploitation active n'est pas confirmée à ce jour, mais l'historique des RCE SharePoint (ToolShell en 2025, CVE-2019-0604, CVE-2020-1147) démontre une fenêtre typique d'exploitation publique de 7 à 14 jours après divulgation. Les RSSI doivent considérer la fenêtre 13 au 27 mai 2026 comme la plus critique, et préparer la détection et la remédiation dès le 14 mai.

La surface d'attaque inclut non seulement les serveurs SharePoint front-end mais aussi les serveurs applicatifs back-end participant à la ferme (Application, Search, Workflow Manager). Une RCE sur n'importe quel nœud peut servir de pivot vers l'ensemble de la ferme et l'AD environnant. Les 6 800+ serveurs exposés à internet selon Shadowserver représentent une cible immédiate pour les opérations de masse.

Recommandations immédiates

• Appliquer KB5002870 (SharePoint Server 2019) ou KB5002872 (Subscription Edition) ou KB5002868 (SharePoint 2016) en suivant la procédure officielle Microsoft : installation des binaires sur tous les serveurs de la ferme puis exécution de PSConfig.exe pour la mise à jour du schéma. Advisory : Microsoft Security Update Guide CVE-2026-40365.
• Bloquer l'accès externe direct aux endpoints sensibles SharePoint (/_layouts/15/, /_vti_bin/, /_api/) via reverse proxy ou WAF ; n'autoriser l'accès qu'aux IP autorisées et après authentification MFA.
• Auditer les logs IIS et SharePoint des 14 derniers jours à la recherche de requêtes POST anormales contenant des payloads de désérialisation suspects (signatures : présence de chaînes Base64 longues vers les endpoints concernés, User-Agent inhabituels).
• Activer les règles Snort publiées par Cisco Talos (Sids 64xxx série mai 2026) sur les IDS frontaux et déployer les signatures Defender for Endpoint correspondantes.
• Indicateurs de compromission : processus enfants anormaux issus de w3wp.exe SharePoint (cmd.exe, powershell.exe, certutil.exe, mshta.exe) ; création de fichiers .aspx dans les répertoires SharePoint hors déploiement standard ; nouvelles tâches planifiées sur les serveurs ferme ; vérifier également la création de comptes administrateurs SharePoint suspects.