En bref

  • CVE-2026-45659 : RCE par désérialisation sur SharePoint Server, CVSS 8.8, inscrite au KEV CISA le 1er juillet 2026
  • SharePoint Server Subscription Edition, 2019 et Enterprise Server 2016 affectés
  • Un compte avec des droits de membre de site suffit à l'exploitation — appliquer le patch de mai 2026 immédiatement

Les faits

La CISA (Cybersecurity and Infrastructure Security Agency) a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, fixant aux agences fédérales américaines une date limite de mise à jour au 4 juillet 2026. Cette inscription confirme ce que la communauté sécurité suspectait depuis plusieurs semaines : la vulnérabilité est activement exploitée dans la nature, contredisant l'évaluation initiale de Microsoft qui l'avait classée « less likely to be exploited » lors de la publication du correctif en mai 2026.

CVE-2026-45659 est une vulnérabilité de désérialisation de données non fiables (CWE-502) dans Microsoft SharePoint Server. Le score CVSS atteint 8,8 sur 10 avec un vecteur d'attaque réseau. La faille a été corrigée par Microsoft fin mai 2026 via une mise à jour de sécurité hors cycle (out-of-band security update). Les versions affectées sont SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Enterprise Server 2016. Pour SharePoint Server 2019, le build minimal corrigé est 16.0.10416.20004 ; pour SharePoint Enterprise Server 2016, il faut être au minimum sur le build 16.0.5552.1002.

Le mécanisme d'exploitation est particulièrement préoccupant. Un attaquant disposant d'un compte avec des droits de « Site Member » — le niveau d'accès par défaut accordé à la majorité des employés dans les déploiements SharePoint d'entreprise — peut déclencher l'exécution de code arbitraire à distance sans élévation de privilèges préalable. Aucune interaction de l'utilisateur cible n'est requise une fois l'authentification obtenue. En pratique, un compte compromis via phishing, credential stuffing ou acheté sur un forum criminel underground suffit pour lancer l'attaque.

Le groupe Storm-2603 a été documenté comme exploitant activement CVE-2026-45659. Ce groupe, connu des équipes de threat intelligence pour son ciblage systématique des vulnérabilités SharePoint, opère un schéma post-exploitation cohérent : déploiement de webshells sur le serveur SharePoint compromis pour maintenir un accès persistant, mouvement latéral vers d'autres systèmes du réseau interne, exfiltration documentaire ciblée, et dans certains cas, staging de données préalable à un chiffrement ransomware.

Les webshells déposés par Storm-2603 sont placés dans des répertoires accessibles via l'interface web de SharePoint — typiquement sous /_layouts/, /sites/ ou dans des bibliothèques de documents. Cette technique permet au groupe de maintenir un foothold persistant même après rotation des mots de passe des comptes compromis. La détection nécessite une inspection active des fichiers du système de fichiers SharePoint et des journaux IIS, pas seulement une surveillance des authentifications.

La réponse de la CISA contraste fortement avec la posture initiale de Microsoft. En mai 2026, l'éditeur avait estimé une exploitation « less likely » — une classification qui peut conduire certaines organisations à différer l'application du correctif hors de leurs cycles de maintenance planifiés. Depuis le 1er juillet et l'inscription au KEV, cette justification n'est plus tenable. The Register et BleepingComputer ont tous deux souligné ce décalage entre l'évaluation initiale de Microsoft et la réalité terrain observée par la CISA et les équipes de réponse aux incidents.

Le catalogue KEV de la CISA est aujourd'hui la référence la plus opérationnelle disponible pour prioriser les patches dans les organisations. Une inscription au KEV signifie qu'une preuve d'exploitation réelle a été établie. Pour les entreprises françaises et européennes utilisant SharePoint en production, les recommandations sont identiques : appliquer le patch immédiatement, sans attendre le prochain cycle de maintenance planifié, et conduire une investigation sur d'éventuelles compromissions antérieures.

La désérialisation de données non fiables est un vecteur d'attaque récurrent sur les plateformes de collaboration d'entreprise. Sur SharePoint en particulier, plusieurs CVE critiques des cinq dernières années ont suivi un schéma similaire : correctif disponible, exploitation rapide, déploiement massif de webshells. CVE-2026-45659 s'inscrit dans cette même logique. La fenêtre entre la publication d'un patch et la mise en exploitation massive se mesure désormais en jours, voire en heures pour les composants aussi répandus que SharePoint. Toute organisation n'ayant pas appliqué le patch de mai 2026 doit considérer que son environnement est potentiellement déjà compromis et conduire une investigation forensique en parallèle du déploiement du correctif.

Impact et exposition

SharePoint Server est une plateforme critique dans la majorité des grandes entreprises et administrations françaises et européennes. Toute organisation ayant déployé SharePoint Server Subscription Edition, 2019 ou Enterprise Server 2016 sans appliquer le correctif de mai 2026 est directement exposée à CVE-2026-45659. L'exploitation ne requiert qu'un compte authentifié avec des droits de membre de site. Les environnements exposant SharePoint sur internet sont en risque d'exploitation directe. Les environnements strictement intranet sont exposés via la compromission préalable d'un compte utilisateur (phishing, credential stuffing, insider threat).

Recommandations

  • Immédiat : appliquer le patch de mai 2026 sur tous les serveurs SharePoint (build 16.0.10416.20004 pour 2019, build 16.0.5552.1002 pour 2016 Enterprise). Vérifier via Administration Centrale ou PowerShell : (Get-SPFarm).BuildVersion.
  • Chasse aux webshells : inspecter les journaux IIS pour des requêtes POST vers des chemins inhabituels post-authentification. Rechercher les fichiers .aspx ou .asmx créés depuis mai 2026 dans les répertoires SharePoint.
  • Détection EDR : activer les alertes sur la création de processus enfants depuis w3wp.exe (worker process IIS SharePoint), signe classique d'exploitation de webshell.
  • Revue des accès : auditer les comptes avec droits Site Member ou supérieurs. Appliquer le principe de moindre privilège, notamment pour les comptes de service et les utilisateurs externes.
  • Segmentation réseau : si SharePoint est exposé sur internet, vérifier que seuls les points d'accès strictement nécessaires sont publiés. Envisager un WAF avec règles anti-désérialisation.

Alerte critique

CVE-2026-45659 est activement exploitée par Storm-2603 pour déployer des webshells persistants. Un compte employé compromis suffit à prendre le contrôle du serveur SharePoint. Si votre SharePoint n'est pas patché au build de mai 2026, traitez la situation comme une urgence P1 et lancez immédiatement une investigation forensique.

Comment vérifier rapidement si mes serveurs SharePoint sont patchés contre CVE-2026-45659 ?

Connectez-vous à l'Administration Centrale SharePoint, puis allez dans « Mise à niveau et migration » > « Vérifier l'état de l'installation du produit et des correctifs ». En PowerShell depuis le serveur SharePoint : (Get-SPFarm).BuildVersion retourne le build actuel. Pour SharePoint Server 2019, le numéro de build doit être au minimum 16.0.10416.20004. Pour SharePoint Enterprise Server 2016, vérifiez que vous êtes sur 16.0.5552.1002 ou supérieur. Tout build antérieur signifie que votre serveur reste vulnérable à CVE-2026-45659.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit