En bref

  • CVE-2026-45659 : RCE par désérialisation dans SharePoint Server, CVSS 8.8, ajoutée à la KEV CISA le 1er juillet 2026
  • SharePoint Server 2016, 2019 et Subscription Edition affectés — exploitation active confirmée, ransomware Warlock déployé par Storm-2603
  • Le patch Microsoft du Patch Tuesday de mai 2026 doit être appliqué immédiatement — toute instance non corrigée est une cible active

Les faits

Le 1er juillet 2026, la CISA a officiellement inscrit CVE-2026-45659 dans son catalogue KEV (Known Exploited Vulnerabilities), avec une échéance de remédiation fixée au 4 juillet 2026 pour les agences fédérales américaines. Cette faille affecte Microsoft SharePoint Server dans ses trois déclinaisons on-premises : SharePoint Server 2016 Enterprise Edition, SharePoint Server 2019 et SharePoint Server Subscription Edition. La vulnérabilité est issue d'une désérialisation de données non fiables — un vecteur classique mais d'une efficacité redoutable lorsqu'il est accessible à un attaquant authentifié à faible privilège.

Le score CVSS v3.1 est établi à 8.8, avec un vecteur réseau, une complexité d'attaque faible et des privilèges requis limités (PR:L). Ce paramètre est le plus important : l'exploitation ne requiert que des droits de membre de site SharePoint, le niveau de permission le plus bas dans la hiérarchie SharePoint. Toute personne disposant d'un compte SharePoint valide — collaborateur, prestataire externe, compte de service — peut déclencher l'exécution de code à distance sur le serveur sans action complémentaire de la victime. Il n'est pas nécessaire d'être administrateur SharePoint ni administrateur Windows.

Microsoft a publié le correctif lors de son Patch Tuesday de mai 2026. Malgré cela, plus d'un mois après sa mise à disposition, plusieurs milliers d'instances SharePoint on-premises restaient non corrigées à l'échelle mondiale, selon les données de Shodan et de l'Internet Storm Center. Ce retard de patching est structurel dans de nombreuses organisations : SharePoint on-premises est souvent géré par des équipes IT généralistes plutôt que par des équipes sécurité, et les mises à jour SharePoint sont réputées complexes à déployer sans interruption de service, ce qui conduit à des reports répétés.

L'exploitation active confirmée suit un schéma d'attaque en plusieurs étapes précisément documenté. Après avoir exploité CVE-2026-45659 pour obtenir une exécution de code sur le serveur SharePoint, les attaquants procèdent à une reconnaissance interne rapide, se déplacent latéralement vers d'autres segments du réseau via des outils d'administration natifs (PsExec, WMI, SMB), et établissent une persistance via des outils d'accès à distance légitimes : AnyDesk, Atera, ou des agents de monitoring détournés. L'élévation de privilèges jusqu'au niveau administrateur de domaine Active Directory a été documentée dans plusieurs incidents avant le déploiement de charges malveillantes.

Le groupe de menace Storm-2603, identifié et suivi par Microsoft Threat Intelligence, est directement associé à cette vague d'exploitation. Ce groupe est connu pour avoir opéré en 2025 dans le cadre de la famille de vulnérabilités ToolShell sur SharePoint on-premises, et pour être à l'origine de campagnes de déploiement du ransomware Warlock. Le schéma observé en juillet 2026 présente des similitudes frappantes avec les TTPs documentés lors de cette précédente campagne : même vecteur d'entrée via SharePoint, même progression méthodique vers le contrôleur de domaine, même payload finale. L'analyse des indicateurs de compromission publiés par SOCRadar et la plateforme hard2bit confirme le lien opérationnel entre CVE-2026-45659 et Storm-2603.

L'analyse des logs d'incidents disponibles indique que le délai médian entre l'accès initial via SharePoint et le déclenchement du chiffrement par Warlock se situe entre 18 et 36 heures. Ce délai court laisse peu de temps pour une détection et une réponse efficaces sans outillage EDR déployé sur les serveurs SharePoint, sans règles SIEM alertant sur les comportements post-exploitation, et sans surveillance active des journaux IIS. Les équipes SOC qui ne scrutent pas les logs des serveurs SharePoint en temps quasi-réel sont statistiquement hors de la fenêtre de détection.

SharePoint on-premises reste massivement déployé dans les organisations françaises — administrations publiques, collectivités territoriales, établissements de santé, entreprises industrielles — qui n'ont pas encore migré vers SharePoint Online. Ces environnements sont souvent moins bien maintenus que leurs homologues cloud, bénéficient rarement d'un EDR sur les serveurs applicatifs, et leurs pipelines de patching sont plus longs. Selon les données de l'ANSSI publiées dans son rapport d'activité 2025, les serveurs de collaboration et de messagerie on-premises représentent le deuxième vecteur d'entrée initial le plus fréquent dans les incidents ransomware traités par l'agence, derrière les accès VPN compromis.

CVE-2026-45659 s'inscrit dans une série longue de vulnérabilités SharePoint on-premises à fort impact : CVE-2024-38094, CVE-2023-29357, ProxyNotShell (2022), et la série ToolShell de 2025. Chaque nouvelle CVE SharePoint critique entraîne une vague d'exploitation rapide car les attaquants savent que les instances on-premises sont lentes à patcher. L'historique suggère que les instances SharePoint non corrigées resteront ciblées intensément dans les quatre à six semaines suivant l'inscription en KEV.

Impact et exposition

Sont exposées toutes les instances SharePoint Server 2016 Enterprise Edition, 2019 et Subscription Edition sans les correctifs du Patch Tuesday de mai 2026. L'exploitation nécessite une authentification minimale (droits de membre de site), ce qui signifie que tout environnement SharePoint accessible depuis Internet — ou depuis un réseau partiellement compromis, y compris via VPN — est à risque immédiat. Les environnements sans segmentation réseau entre le serveur SharePoint et les contrôleurs de domaine Active Directory sont exposés à une compromission totale du domaine. En France, les secteurs les plus exposés incluent les administrations centrales et locales, les CH et CHU, les cabinets d'avocats et comptables, et les ETI industrielles ayant conservé des instances SharePoint on-premises.

Recommandations

  • Appliquer immédiatement le patch Microsoft du Patch Tuesday de mai 2026 sur toutes les instances SharePoint Server — prioriser les instances exposées depuis Internet ou depuis un réseau à accès étendu.
  • Auditer les journaux IIS et les logs de l'Event Viewer Windows à la recherche d'activités suspectes depuis le 1er juin 2026, date à partir de laquelle des exploitations ont été documentées.
  • Restreindre les comptes disposant de droits de membre de site aux seuls utilisateurs métier légitimes et activer le MFA sur tous les comptes SharePoint.
  • Mettre en place des règles de détection SIEM sur les événements de désérialisation et les comportements post-exploitation caractéristiques (PsExec, création de tâches planifiées, connexions sortantes inhabituelles depuis le serveur SharePoint).
  • Segmenter le réseau pour isoler les serveurs SharePoint des contrôleurs de domaine et limiter les possibilités de déplacement latéral en cas de compromission.

Alerte critique

CVE-2026-45659 est activement exploitée par Storm-2603 pour déployer le ransomware Warlock sur les instances SharePoint on-premises non patchées. Toute instance SharePoint Server 2016/2019/Subscription Edition sans le patch de mai 2026 doit être considérée comme une cible active. La remédiation est une urgence P1 — patch dans les 24 heures, ou restriction d'accès réseau à SharePoint dans l'attente du correctif.

Mon SharePoint est accessible uniquement depuis l'intranet, suis-je quand même exposé ?

Oui. CVE-2026-45659 ne requiert pas un accès Internet direct — seulement des droits de membre de site. Un attaquant ayant compromis un poste de travail sur votre réseau interne via phishing peut exploiter SharePoint depuis l'intérieur. Le schéma classique Warlock est précisément ce séquençage : phishing sur un endpoint, puis exploitation SharePoint depuis cet endpoint compromis. L'isolation sur intranet réduit la surface mais ne supprime pas le risque en cas de point d'entrée réseau interne compromis.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit