En bref

  • CVE-2026-45659 : deserialisation de donnees non fiables dans Microsoft SharePoint Server — CVSS 8.8 High, exploitee activement par Storm-2603 dans des campagnes de ransomware Warlock
  • Systemes affectes : SharePoint Enterprise Server 2016 (anterieur a 16.0.5552.1002), SharePoint Server 2019 (anterieur a 16.0.10417.20128), SharePoint Server Subscription Edition (anterieur a 16.0.19725.20280) — SharePoint Online non concerne
  • Action urgente : appliquer le correctif Microsoft de mai 2026 immediatement — CISA KEV depuis le 1er juillet 2026, delai federal expire le 4 juillet

Les faits

CVE-2026-45659 est une vulnérabilité d'exécution de code à distance dans Microsoft SharePoint Server qui exploite un mécanisme de désérialisation de données non fiables (CWE-502 : Deserialization of Untrusted Data). Avec un score CVSS v3.1 de 8.8 (High), cette faille permet à tout attaquant authentifié possédant un minimum de permissions « Site Member » d'exécuter du code arbitraire à distance sur le serveur SharePoint cible. Le correctif a été publié par Microsoft en mai 2026, mais les données de télémétrie de plusieurs éditeurs de cybersécurité confirment que la majorité des déploiements SharePoint on-premises restent non patchés plusieurs semaines après la divulgation.

La vulnérabilité est classée CWE-502, une catégorie de failles particulièrement dangereuses car elles permettent de transformer des données contrôlées par l'attaquant en code exécutable côté serveur. SharePoint utilise intensivement la sérialisation .NET pour gérer les objets de workflow, les listes de données et les composants Web Parts. CVE-2026-45659 exploite une entrée de désérialisation insuffisamment validée dans un composant SharePoint accessible aux utilisateurs authentifiés. Un attaquant forgeant un objet sérialisé malveillant et l'envoyant au endpoint vulnérable peut déclencher l'exécution de code arbitraire dans le contexte du compte de service SharePoint — généralement un compte disposant de privilèges élevés sur le serveur et potentiellement sur le domaine Active Directory.

La CISA a ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, imposant aux agences fédérales américaines un délai de remédiation au 4 juillet 2026. L'ajout au KEV est intervenu après confirmation d'une exploitation active in-the-wild, notamment dans des campagnes orchestrées par le groupe de menace Storm-2603, documenté par Microsoft Threat Intelligence. Ce groupe cible les déploiements SharePoint on-premises depuis mi-2025 pour y déployer le ransomware Warlock dans un modèle de double extorsion (chiffrement et exfiltration de données).

Storm-2603 présente un mode opératoire caractéristique documenté par les chercheurs de Rescana et hard2bit Security : exploitation rapide de vulnérabilités connues dans les serveurs SharePoint non patchés, mouvement latéral vers l'infrastructure Active Directory, puis déploiement du ransomware Warlock avec exfiltration préalable. Le groupe dispose d'un précédent notable avec l'exploitation de la vulnérabilité ToolShell en 2025, qui avait compromis des centaines d'organisations via SharePoint on-premises. CVE-2026-45659 représente pour Storm-2603 un vecteur d'intrusion initial fiable, ne nécessitant que des credentials valides — facilement obtenus via phishing ou credential stuffing sur des bases de données de brèches antérieures.

Initialement, Microsoft avait qualifié l'exploitation de CVE-2026-45659 comme « moins probable » dans son advisory de mai 2026. Cette évaluation s'est révélée incorrecte face aux preuves d'exploitation active documentées par CISA, The Register et SecurityWeek début juillet 2026. Ce type de sous-estimation de la probabilité d'exploitation par Microsoft s'est déjà produit dans des cas similaires. Les organisations doivent traiter toute vulnérabilité SharePoint corrigée par Microsoft comme potentiellement exploitable dans les semaines suivant sa divulgation, indépendamment des appréciations initiales du fournisseur.

Le vecteur d'attaque de CVE-2026-45659 est réseau (AV:N), la complexité est faible (AC:L), les privilèges requis sont de bas niveau (PR:L — simples permissions « Site Member »), et aucune interaction utilisateur n'est nécessaire (UI:N). Le score d'impact sur la confidentialité, l'intégrité et la disponibilité est maximal (H/H/H). Dans de nombreuses organisations, les comptes SharePoint sont provisionnés librement à des partenaires, sous-traitants ou équipes internes, élargissant considérablement la surface d'attaque potentielle au-delà des seuls employés permanents.

D'après les analyses techniques publiées par Rescana et Penligent Security, l'exploitation de CVE-2026-45659 ne nécessite pas d'interaction avec l'interface graphique de SharePoint. Elle peut être menée via des requêtes HTTP directes vers les API SharePoint REST ou les endpoints SOAP, rendant l'exploitation scriptable et automatisable. Des Proof-of-Concept circulent dans les communautés de chercheurs en sécurité depuis début juillet 2026, et Storm-2603 dispose vraisemblablement d'outils d'exploitation armés. La chaîne d'attaque documentée inclut : authentification avec credentials compromis, exploitation CVE-2026-45659, déploiement d'un web shell persistant, reconnaissance Active Directory, mouvement latéral, puis déploiement de Warlock avec chiffrement et exfiltration simultanée.

Le contexte organisationnel de SharePoint amplifie considérablement la gravité de cette vulnérabilité. SharePoint est fréquemment utilisé comme intranet principal, gestionnaire documentaire ou base de données collaborative. Un serveur SharePoint compromis donne accès à l'ensemble des documents sensibles, contrats, données RH, propriété intellectuelle et informations financières stockées. Il constitue également un tremplin pour l'escalade de privilèges Active Directory. Les industries les plus exposées incluent les cabinets juridiques, les établissements de santé, les administrations publiques et les entreprises industrielles qui utilisent SharePoint on-premises plutôt que SharePoint Online (Microsoft 365 cloud). Selon SecurityWeek, les organisations victimes de Storm-2603 ont en moyenne subi 3 à 6 semaines d'interruption partielle de service.

Des indicateurs de compromission spécifiques à Storm-2603 ont été documentés par les équipes de threat intelligence de Microsoft et plusieurs éditeurs de sécurité. Ces indicateurs incluent la présence de web shells .aspx dans les répertoires web SharePoint, un trafic réseau sortant inhabituel vers des plages IP associées à Storm-2603, la création de comptes locaux administrateurs non autorisés sur le serveur SharePoint, et des tentatives de désactivation ou de contournement des outils EDR (Endpoint Detection and Response) déployés sur le serveur. La surveillance proactive de ces indicateurs permet de détecter une compromission en cours avant le déploiement effectif du ransomware Warlock.

Impact et exposition

L'exposition à CVE-2026-45659 concerne exclusivement les déploiements SharePoint on-premises, à distinguer de SharePoint Online (Microsoft 365) qui n'est pas affecté. Des dizaines de milliers de serveurs SharePoint on-premises sont accessibles directement sur Internet, et un nombre bien supérieur sont exposés sur des réseaux internes d'entreprise. Les organisations qui n'ont pas appliqué les correctifs Microsoft de mai 2026 sont entièrement exposées à l'exploitation par Storm-2603 et d'autres acteurs qui ont maintenant accès aux détails techniques de la vulnérabilité via les analyses publiées en juillet 2026.

Storm-2603 cible activement ces déploiements en utilisant des techniques de reconnaissance automatisée (scanning via Shodan, Censys) pour identifier les serveurs SharePoint vulnérables exposés sur Internet. L'exploitation ne nécessite que des credentials valides, facilement obtenus via des campagnes de phishing préalables ou des attaques de credential stuffing. Des organisations des secteurs public, juridique et médical ont été documentées comme victimes de Storm-2603 dans des campagnes récentes. Les demandes de rançon Warlock documentées vont de 50 000 à plusieurs millions d'euros selon la taille et le secteur de l'organisation.

Le ransomware Warlock applique un modèle de double extorsion : chiffrement des données et exfiltration préalable avec menace de publication sur un site de leak dédié. L'impact opérationnel inclut l'interruption totale des accès documentaires (critique pour les organisations fortement dépendantes de SharePoint), la compromission de données personnelles soumises aux obligations RGPD de notification, et les coûts de remédiation et de reconstruction de l'infrastructure compromise.

Recommandations immédiates

  • Appliquer le correctif Microsoft SharePoint de mai 2026 : SharePoint Enterprise Server 2016 vers 16.0.5552.1002, SharePoint Server 2019 vers 16.0.10417.20128, SharePoint Server Subscription Edition vers 16.0.19725.20280 — Microsoft Security Advisory MSA-2026-0045659
  • Vérifier la version installée via l'Administration Centrale SharePoint : Gestion du systeme → Paramètres systeme → État de mise à niveau des produits
  • Si patch non applicable immédiatement : restreindre l'accès aux serveurs SharePoint depuis Internet (WAF, VPN obligatoire, blocage des accès directs)
  • Auditer les comptes ayant des permissions « Site Member » ou supérieures : identifier les comptes suspects créés récemment ou partagés avec des partenaires externes
  • Surveiller les logs IIS SharePoint pour des patterns d'exploitation : requêtes POST anormales, erreurs HTTP 500 inhabituelles, fichiers .aspx suspects dans les répertoires web SharePoint
  • Indicateurs de compromission Storm-2603 : web shells .aspx dans C:\inetpub\wwwroot\wss\, trafic réseau sortant anormal, création de comptes AD locaux inconnus, désactivation des outils EDR ou AV

⚠️ Urgence

Exploitation active confirmée par CISA (KEV catalog, 1er juillet 2026). Storm-2603 deploie le ransomware Warlock via CVE-2026-45659. Si votre SharePoint on-premises n'est pas patche depuis mai 2026, engagez une investigation forensique avant meme d'appliquer le patch — une compromission anterieure est possible.

Comment savoir si je suis vulnérable ?

Verifiez votre version SharePoint via l'Administration Centrale → Parametres systeme → Etat de mise a niveau des produits. Si votre version est anterieure a 16.0.5552.1002 (SharePoint 2016), 16.0.10417.20128 (SharePoint 2019) ou 16.0.19725.20280 (Subscription Edition), vous etes vulnerable. SharePoint Online (Microsoft 365) n'est PAS concerne. Pour detecter une exploitation passee, auditez les logs IIS dans %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\logs\ et recherchez des requetes POST anormales vers des pages ASPX inconnues ou des User-Agents inhabituels.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit