En bref

  • CVE-2026-45659 : execution de code a distance (RCE) via deserialisation dans Microsoft SharePoint Server, CVSS 8.8 (High)
  • Systemes affectes : SharePoint Server Subscription Edition, SharePoint Server 2019, SharePoint Enterprise Server 2016
  • Action urgente : appliquer immediatement le patch Microsoft de mai 2026 — exploitation active confirmee par la CISA KEV, deadline federale americaine au 4 juillet 2026

Les faits

Le 1er juillet 2026, la CISA (Cybersecurity and Infrastructure Security Agency) americaine a ajoute CVE-2026-45659 a son catalogue des vulnerabilites exploitees activement (Known Exploited Vulnerabilities, KEV). Cette decision contraste avec l'evaluation initiale de Microsoft lors du Patch Tuesday de mai 2026, qui qualifiait l'exploitation de "Less Likely" (moins probable). La realite du terrain a rapidement contredit cette appreciation, obligeant les agences federales americaines (FCEB) a appliquer le correctif avant le 4 juillet 2026 sous peine de non-conformite reglementaire.

CVE-2026-45659 est une vulnerabilite d'execution de code a distance resultant de la deserialisation de donnees non fiables (CWE-502 : Deserialization of Untrusted Data). Le score CVSS v3.1 est de 8.8, avec un vecteur reseau (AV:N), une complexite d'attaque faible (AC:L), des privileges limites requis (PR:L), aucune interaction utilisateur necessaire (UI:N), et un impact total sur la confidentialite, l'integrite et la disponibilite (C:H/I:H/A:H). Le score EPSS a progresse significativement depuis la confirmation d'exploitation active, temoignant de la probabilite elevee d'exploitation dans les environnements non patches.

Trois versions de Microsoft SharePoint Server sont affectees : SharePoint Server Subscription Edition (toutes versions avant le patch de mai 2026), SharePoint Server 2019 et SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) n'est pas affecte car Microsoft gere directement les mises a jour de son infrastructure cloud. Les organisations ayant migre vers SharePoint Online ne sont donc pas exposees a cette faille specifique.

Sur le plan technique, la vulnerabilite reside dans le composant de deserialisation des donnees de SharePoint Server. Un attaquant authentifie disposant au minimum des droits de "Site Member" — le niveau le plus bas d'appartenance a un site SharePoint, accorde par defaut a de nombreux utilisateurs dans les environnements d'entreprise — peut envoyer une requete reseau specifiquement forgee qui declenche la deserialisation d'un objet .NET malveillant cote serveur. Cette technique exploite des gadgets de deserialisation bien documentes dans l'ecosysteme .NET, permettant de chainer des appels d'objets serialises pour aboutir a l'execution arbitraire de code dans le contexte du processus SharePoint (w3wp.exe), qui tourne generalement avec des privileges eleves sur le serveur Windows.

Microsoft a lui-meme reconnu dans l'advisory que la faille est facile a exploiter car un attaquant n'a pas besoin d'une connaissance prealable significative du systeme et peut obtenir un succes reproductible avec son payload contre le composant vulnerable. Cette caracteristique — facilite d'exploitation et reproductibilite — explique pourquoi des acteurs malveillants ont rapidement transforme cette vulnerabilite en outil d'attaque operationnel, malgre l'evaluation initiale rassurante de Microsoft. La reproductibilite implique qu'un exploit automatise peut cibler des milliers d'instances SharePoint de maniere industrielle.

La chronologie de la decouverte suit le schema classique d'acceleration post-patch : Microsoft a corrige la faille en mai 2026 dans le cadre de son Patch Tuesday mensuel. Des chercheurs en securite ont analyse le differentiel entre la version patchee et la version vulnerable (technique de patch diffing), reconstituant la nature precise de la faille. Des preuves de concept (PoC) ont ensuite circule dans les cercles de recherche offensive, avant qu'une exploitation reelle soit detectee dans la nature, forcant la CISA a agir le 1er juillet 2026. Selon The Register, ce cas illustre parfaitement le decalage possible entre l'evaluation academique du risque et la realite de l'exploitation en conditions reelles.

L'exploitation dans un scenario realiste necessite qu'un attaquant dispose d'un compte valide sur le SharePoint cible — ce qui correspond a un attaquant interne, un compte compromis via phishing, ou un acces obtenu par credential stuffing. Une fois ce premier niveau d'authentification obtenu, l'exploitation est triviale. La charge utile peut aboutir a l'installation d'un webshell sur le serveur SharePoint, au deploiement d'un ransomware sur le serveur et les partages reseau accessibles, a l'exfiltration de donnees confidentielles stockees dans les bibliotheques SharePoint, ou a un pivot vers d'autres systemes internes via le reseau de l'entreprise.

D'apres BleepingComputer et SecurityWeek, l'exploitation active de CVE-2026-45659 a ete confirmee par plusieurs sources independantes avant l'ajout au KEV CISA. Les indicateurs de compromission (IoC) observes incluent des requetes HTTP anormales vers les endpoints de traitement des donnees SharePoint et des processus enfants inhabituels lances par le service IIS : w3wp.exe lancant cmd.exe, powershell.exe ou certutil.exe. La CISA recommande aux organisations de prioriser cette faille meme en l'absence d'exposition directe a Internet, car de nombreuses intrusions commencent par un acces authentifie interne ou un compte compromis.

Impact et exposition

SharePoint Server est deploye dans des dizaines de milliers d'organisations dans le monde, principalement dans les grandes entreprises, les administrations publiques et les etablissements de sante ou d'enseignement. En France, de nombreuses collectivites territoriales, ministeres et entreprises du CAC 40 utilisent SharePoint Server on-premise pour la gestion documentaire, leur intranet collaboratif et leurs workflows metier. L'exposition est particulierement large dans les secteurs fortement reglementes — finance, sante, defense — qui ont tarde a migrer vers SharePoint Online pour des raisons de souverainete des donnees ou de contraintes reglementaires.

La condition d'exploitation — un compte authentifie avec au minimum les droits "Site Member" — represente une barriere faible dans les environnements ou SharePoint est utilise comme portail collaboratif ouvert a l'ensemble du personnel, voire a des partenaires externes. Dans ces contextes, la surface d'attaque est considerable : tout utilisateur legitime (ou tout compte compromis) peut declencher l'exploitation depuis le reseau interne, sans necessiter d'elevation de privileges prealable. Un attaquant ayant obtenu un seul compte Active Directory valide peut potentiellement compromettre le serveur SharePoint entier.

L'exploitation active confirmee par la CISA signifie que des groupes de menace ont integre CVE-2026-45659 dans leurs arsenaux operationnels. Les operateurs de ransomware, connus pour cibler SharePoint comme vecteur d'acces initial et source de donnees exfiltrables, sont particulierement susceptibles d'avoir adopte cet exploit. La nature reproductible de l'exploitation le rend attractif pour les groupes pratiquant la double extorsion : exfiltration des donnees SharePoint puis chiffrement du serveur pour maximiser la pression sur la victime.

Recommandations immediates

  • Appliquer immediatement le patch Microsoft de mai 2026 : KB5002663 (SharePoint Server Subscription Edition), KB5002662 (SharePoint Server 2019), KB5002664 (SharePoint Enterprise Server 2016)
  • Verifier les journaux IIS et les Event Logs Windows pour des signes d'exploitation anterieure : processus w3wp.exe lancant des enfants inhabituels (cmd.exe, powershell.exe, certutil.exe)
  • Activer l'authentification multi-facteurs (MFA) pour tous les comptes SharePoint, en particulier les comptes d'administration et de service
  • Si le patch ne peut etre applique immediatement : restreindre l'acces reseau a SharePoint Server via pare-feu ou WAF et isoler le serveur du reste du reseau
  • Scanner les repertoires d'application SharePoint (layouts, _vti_bin, inetpub) pour detecter d'eventuels webshells (fichiers .aspx ou .ashx recemment crees et non attendus)

⚠ Urgence critique — exploitation active confirmee

CVE-2026-45659 est exploitee activement dans la nature. La CISA a impose une deadline au 4 juillet 2026 pour les agences federales americaines. Pour toute organisation utilisant SharePoint Server on-premise, l'application du patch doit etre traitee comme une urgence absolue — ne pas attendre la prochaine fenetre de maintenance planifiee.

Comment savoir si je suis vulnerable ?

Verifiez la version de votre SharePoint Server via Central Administration > Upgrade and Migration > Check product and patch installation status. Si la version de build est anterieure au patch de mai 2026 (build 16.0.17328.20 pour SharePoint Subscription Edition, 16.0.10407.20002 pour SharePoint 2019, 16.0.5456.1000 pour SharePoint 2016), votre systeme est vulnerable. Vous pouvez egalement executer la commande PowerShell sur le serveur SharePoint : (Get-SPFarm).BuildVersion et comparer avec les numeros de build attendus apres le patch de mai 2026.

Votre infrastructure SharePoint est-elle exposee ?

Ayi NEDJIMI realise des audits cibles pour identifier et corriger vos vulnerabilites SharePoint et Microsoft 365.

Demander un audit