CVE-2026-45659, deserialisation RCE dans SharePoint Server on-premises (CVSS 8.8), est activement exploitee par Storm-2603 pour deployer le ransomware Warlock. CISA KEV depuis le 1er juillet 2026. Patch critique disponible depuis mai 2026.
En bref
- CVE-2026-45659 : deserialisation de donnees non fiables dans Microsoft SharePoint Server — CVSS 8.8 High, exploitee activement par Storm-2603 dans des campagnes de ransomware Warlock
- Systemes affectes : SharePoint Enterprise Server 2016 (anterieur a 16.0.5552.1002), SharePoint Server 2019 (anterieur a 16.0.10417.20128), SharePoint Server Subscription Edition (anterieur a 16.0.19725.20280) — SharePoint Online non concerne
- Action urgente : appliquer le correctif Microsoft de mai 2026 immediatement — CISA KEV depuis le 1er juillet 2026, delai federal expire le 4 juillet
Les faits
CVE-2026-45659 est une vulnérabilité d'exécution de code à distance dans Microsoft SharePoint Server qui exploite un mécanisme de désérialisation de données non fiables (CWE-502 : Deserialization of Untrusted Data). Avec un score CVSS v3.1 de 8.8 (High), cette faille permet à tout attaquant authentifié possédant un minimum de permissions « Site Member » d'exécuter du code arbitraire à distance sur le serveur SharePoint cible. Le correctif a été publié par Microsoft en mai 2026, mais les données de télémétrie de plusieurs éditeurs de cybersécurité confirment que la majorité des déploiements SharePoint on-premises restent non patchés plusieurs semaines après la divulgation.
La vulnérabilité est classée CWE-502, une catégorie de failles particulièrement dangereuses car elles permettent de transformer des données contrôlées par l'attaquant en code exécutable côté serveur. SharePoint utilise intensivement la sérialisation .NET pour gérer les objets de workflow, les listes de données et les composants Web Parts. CVE-2026-45659 exploite une entrée de désérialisation insuffisamment validée dans un composant SharePoint accessible aux utilisateurs authentifiés. Un attaquant forgeant un objet sérialisé malveillant et l'envoyant au endpoint vulnérable peut déclencher l'exécution de code arbitraire dans le contexte du compte de service SharePoint — généralement un compte disposant de privilèges élevés sur le serveur et potentiellement sur le domaine Active Directory.
La CISA a ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, imposant aux agences fédérales américaines un délai de remédiation au 4 juillet 2026. L'ajout au KEV est intervenu après confirmation d'une exploitation active in-the-wild, notamment dans des campagnes orchestrées par le groupe de menace Storm-2603, documenté par Microsoft Threat Intelligence. Ce groupe cible les déploiements SharePoint on-premises depuis mi-2025 pour y déployer le ransomware Warlock dans un modèle de double extorsion (chiffrement et exfiltration de données).
Storm-2603 présente un mode opératoire caractéristique documenté par les chercheurs de Rescana et hard2bit Security : exploitation rapide de vulnérabilités connues dans les serveurs SharePoint non patchés, mouvement latéral vers l'infrastructure Active Directory, puis déploiement du ransomware Warlock avec exfiltration préalable. Le groupe dispose d'un précédent notable avec l'exploitation de la vulnérabilité ToolShell en 2025, qui avait compromis des centaines d'organisations via SharePoint on-premises. CVE-2026-45659 représente pour Storm-2603 un vecteur d'intrusion initial fiable, ne nécessitant que des credentials valides — facilement obtenus via phishing ou credential stuffing sur des bases de données de brèches antérieures.
Initialement, Microsoft avait qualifié l'exploitation de CVE-2026-45659 comme « moins probable » dans son advisory de mai 2026. Cette évaluation s'est révélée incorrecte face aux preuves d'exploitation active documentées par CISA, The Register et SecurityWeek début juillet 2026. Ce type de sous-estimation de la probabilité d'exploitation par Microsoft s'est déjà produit dans des cas similaires. Les organisations doivent traiter toute vulnérabilité SharePoint corrigée par Microsoft comme potentiellement exploitable dans les semaines suivant sa divulgation, indépendamment des appréciations initiales du fournisseur.
Le vecteur d'attaque de CVE-2026-45659 est réseau (AV:N), la complexité est faible (AC:L), les privilèges requis sont de bas niveau (PR:L — simples permissions « Site Member »), et aucune interaction utilisateur n'est nécessaire (UI:N). Le score d'impact sur la confidentialité, l'intégrité et la disponibilité est maximal (H/H/H). Dans de nombreuses organisations, les comptes SharePoint sont provisionnés librement à des partenaires, sous-traitants ou équipes internes, élargissant considérablement la surface d'attaque potentielle au-delà des seuls employés permanents.
D'après les analyses techniques publiées par Rescana et Penligent Security, l'exploitation de CVE-2026-45659 ne nécessite pas d'interaction avec l'interface graphique de SharePoint. Elle peut être menée via des requêtes HTTP directes vers les API SharePoint REST ou les endpoints SOAP, rendant l'exploitation scriptable et automatisable. Des Proof-of-Concept circulent dans les communautés de chercheurs en sécurité depuis début juillet 2026, et Storm-2603 dispose vraisemblablement d'outils d'exploitation armés. La chaîne d'attaque documentée inclut : authentification avec credentials compromis, exploitation CVE-2026-45659, déploiement d'un web shell persistant, reconnaissance Active Directory, mouvement latéral, puis déploiement de Warlock avec chiffrement et exfiltration simultanée.
Le contexte organisationnel de SharePoint amplifie considérablement la gravité de cette vulnérabilité. SharePoint est fréquemment utilisé comme intranet principal, gestionnaire documentaire ou base de données collaborative. Un serveur SharePoint compromis donne accès à l'ensemble des documents sensibles, contrats, données RH, propriété intellectuelle et informations financières stockées. Il constitue également un tremplin pour l'escalade de privilèges Active Directory. Les industries les plus exposées incluent les cabinets juridiques, les établissements de santé, les administrations publiques et les entreprises industrielles qui utilisent SharePoint on-premises plutôt que SharePoint Online (Microsoft 365 cloud). Selon SecurityWeek, les organisations victimes de Storm-2603 ont en moyenne subi 3 à 6 semaines d'interruption partielle de service.
Des indicateurs de compromission spécifiques à Storm-2603 ont été documentés par les équipes de threat intelligence de Microsoft et plusieurs éditeurs de sécurité. Ces indicateurs incluent la présence de web shells .aspx dans les répertoires web SharePoint, un trafic réseau sortant inhabituel vers des plages IP associées à Storm-2603, la création de comptes locaux administrateurs non autorisés sur le serveur SharePoint, et des tentatives de désactivation ou de contournement des outils EDR (Endpoint Detection and Response) déployés sur le serveur. La surveillance proactive de ces indicateurs permet de détecter une compromission en cours avant le déploiement effectif du ransomware Warlock.
Impact et exposition
L'exposition à CVE-2026-45659 concerne exclusivement les déploiements SharePoint on-premises, à distinguer de SharePoint Online (Microsoft 365) qui n'est pas affecté. Des dizaines de milliers de serveurs SharePoint on-premises sont accessibles directement sur Internet, et un nombre bien supérieur sont exposés sur des réseaux internes d'entreprise. Les organisations qui n'ont pas appliqué les correctifs Microsoft de mai 2026 sont entièrement exposées à l'exploitation par Storm-2603 et d'autres acteurs qui ont maintenant accès aux détails techniques de la vulnérabilité via les analyses publiées en juillet 2026.
Storm-2603 cible activement ces déploiements en utilisant des techniques de reconnaissance automatisée (scanning via Shodan, Censys) pour identifier les serveurs SharePoint vulnérables exposés sur Internet. L'exploitation ne nécessite que des credentials valides, facilement obtenus via des campagnes de phishing préalables ou des attaques de credential stuffing. Des organisations des secteurs public, juridique et médical ont été documentées comme victimes de Storm-2603 dans des campagnes récentes. Les demandes de rançon Warlock documentées vont de 50 000 à plusieurs millions d'euros selon la taille et le secteur de l'organisation.
Le ransomware Warlock applique un modèle de double extorsion : chiffrement des données et exfiltration préalable avec menace de publication sur un site de leak dédié. L'impact opérationnel inclut l'interruption totale des accès documentaires (critique pour les organisations fortement dépendantes de SharePoint), la compromission de données personnelles soumises aux obligations RGPD de notification, et les coûts de remédiation et de reconstruction de l'infrastructure compromise.
Recommandations immédiates
- Appliquer le correctif Microsoft SharePoint de mai 2026 : SharePoint Enterprise Server 2016 vers 16.0.5552.1002, SharePoint Server 2019 vers 16.0.10417.20128, SharePoint Server Subscription Edition vers 16.0.19725.20280 — Microsoft Security Advisory MSA-2026-0045659
- Vérifier la version installée via l'Administration Centrale SharePoint : Gestion du systeme → Paramètres systeme → État de mise à niveau des produits
- Si patch non applicable immédiatement : restreindre l'accès aux serveurs SharePoint depuis Internet (WAF, VPN obligatoire, blocage des accès directs)
- Auditer les comptes ayant des permissions « Site Member » ou supérieures : identifier les comptes suspects créés récemment ou partagés avec des partenaires externes
- Surveiller les logs IIS SharePoint pour des patterns d'exploitation : requêtes POST anormales, erreurs HTTP 500 inhabituelles, fichiers .aspx suspects dans les répertoires web SharePoint
- Indicateurs de compromission Storm-2603 : web shells .aspx dans C:\inetpub\wwwroot\wss\, trafic réseau sortant anormal, création de comptes AD locaux inconnus, désactivation des outils EDR ou AV
⚠️ Urgence
Exploitation active confirmée par CISA (KEV catalog, 1er juillet 2026). Storm-2603 deploie le ransomware Warlock via CVE-2026-45659. Si votre SharePoint on-premises n'est pas patche depuis mai 2026, engagez une investigation forensique avant meme d'appliquer le patch — une compromission anterieure est possible.
Comment savoir si je suis vulnérable ?
Verifiez votre version SharePoint via l'Administration Centrale → Parametres systeme → Etat de mise a niveau des produits. Si votre version est anterieure a 16.0.5552.1002 (SharePoint 2016), 16.0.10417.20128 (SharePoint 2019) ou 16.0.19725.20280 (Subscription Edition), vous etes vulnerable. SharePoint Online (Microsoft 365) n'est PAS concerne. Pour detecter une exploitation passee, auditez les logs IIS dans %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\logs\ et recherchez des requetes POST anormales vers des pages ASPX inconnues ou des User-Agents inhabituels.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8 urgent
CVE-2026-25089 est une injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox (CVSS 9.8 Critical). Sans credentials, un attaquant exécute du code en root. Patch FortiSandbox 5.0.6 et 4.4.9 disponible — juillet 2026.
Patch Tuesday Juillet 2026 : CVE-2025-47981 NEGOEX CVSS 9.8
Le Patch Tuesday du 14 juillet 2026 publie 127 correctifs dont CVE-2025-47981, une faille wormable CVSS 9.8 dans le mecanisme NEGOEX/SPNEGO de Windows — priorite absolue pour tous les systemes Windows depuis Server 2008.
CVE-2026-12569 : RCE PTC Windchill CVSS 9.3, CISA KEV
CVE-2026-12569 dans PTC Windchill permet une RCE non-authentifiée CVSS 9.3 exploitée activement via des web shells JSP. Ajoutée au catalogue CISA KEV — patch le 14 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire