La CISA a ajouté le 2 juillet 2026 la vulnérabilité CVE-2026-45659 à son catalogue KEV après confirmation d'exploitation active par le groupe Storm-2603. Cette faille de désérialisation RCE (CVSS 8.8) dans SharePoint Server 2016, 2019 et SPSE est patchée depuis mai 2026 — mais de nombreuses organisations n'ont pas encore appliqué la mise à jour.
En bref
- CVE-2026-45659 : faille de désérialisation RCE dans SharePoint Server, CVSS 8.8, ajoutée au KEV CISA le 2 juillet 2026
- Systèmes affectés : SharePoint Server Subscription Edition, SharePoint Server 2019, SharePoint Enterprise Server 2016
- Action requise : appliquer le patch Microsoft du Patch Tuesday de mai 2026 — les agences fédérales américaines avaient jusqu'au 4 juillet 2026
Les faits
La CISA a officiellement ajouté le 2 juillet 2026 la vulnérabilité CVE-2026-45659 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant une exploitation active en conditions réelles. La faille avait pourtant été corrigée par Microsoft lors du Patch Tuesday de mai 2026, avec une mention initiale « exploitation moins probable » dans le Security Update Guide — une évaluation erronée qui a conduit de nombreuses équipes à déprioritiser ce correctif.
CVE-2026-45659 est une vulnérabilité de type désérialisation de données non fiables (CWE-502). Son score CVSS v3.1 est de 8.8. Le vecteur d'attaque est réseau (AV:N), aucune interaction utilisateur n'est requise (UI:N), la complexité d'attaque est faible (AC:L), et seuls des privilèges faibles sont requis (PR:L). Cette combinaison en fait une cible particulièrement attractive pour les groupes d'attaquants orientés accès initial.
Sur le plan technique, le vecteur d'exploitation passe par le pipeline de traitement des requêtes SharePoint, qui accepte dans certains contextes des objets sérialisés sans validation stricte du type. Un attaquant disposant d'un compte SharePoint avec un niveau de permission « Site Member » — le niveau par défaut pour tout collaborateur d'un intranet SharePoint — peut instancier des classes arbitraires du runtime .NET et atteindre l'exécution de code côté serveur. Des analyses techniques publiées par les équipes de Penligent et Threat-Modeling.com décrivent le flux d'attaque en détail.
Le groupe d'activité Storm-2603 a été associé aux premières vagues d'exploitation documentées. Ce groupe, suivi par Microsoft et plusieurs éditeurs de sécurité, est connu pour cibler les applications Microsoft on-premises — SharePoint en particulier — comme vecteur d'accès initial. Une fois le serveur SharePoint compromis, les opérateurs de Storm-2603 déploient classiquement des outils de post-exploitation pour le mouvement latéral : reconnaissance Active Directory avec BloodHound ou SharpHound, dump de credentials LSASS, et déploiement de Cobalt Strike pour la persistance.
Les versions touchées sont SharePoint Server Subscription Edition (SPSE), SharePoint Server 2019 et SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) n'est pas affecté : Microsoft gère directement les mises à jour de son infrastructure SaaS. Ce sont donc exclusivement les organisations qui hébergent SharePoint en on-premises ou en environnement hybride qui sont exposées.
La directive BOD 22-01 émise par la CISA impose aux agences fédérales civiles américaines (FCEB) d'appliquer les correctifs du catalogue KEV dans un délai défini. Pour CVE-2026-45659, la deadline était fixée au 4 juillet 2026. Cette obligation légale ne s'applique qu'aux entités gouvernementales américaines, mais constitue un signal fort pour toutes les organisations : la CISA ne classe une vulnérabilité dans le KEV que lorsqu'elle dispose de preuves tangibles d'exploitation active.
L'incident illustre un problème de processus récurrent dans la gestion des vulnérabilités : les équipes sécurité qui se fient uniquement aux évaluations de l'éditeur prennent le risque de sous-prioriser des correctifs qui deviennent critiques en quelques semaines. Microsoft avait initialement classé CVE-2026-45659 comme « less likely to be exploited » — la CISA a contredit publiquement cette évaluation en ajoutant la faille au KEV, illustrant pourquoi le KEV reste une source d'intelligence de priorisation complémentaire et distincte du seul score CVSS.
Au moment de la rédaction de cet article, le 6 juillet 2026, on ne sait pas encore publiquement comment CVE-2026-45659 est précisément exploitée en conditions réelles, quels secteurs sont les principales cibles, ni quels sont les objectifs finaux des attaquants. Cette opacité caractérise les premières phases d'exploitation active : les acteurs opèrent avant que les équipes de threat intelligence n'aient documenté les campagnes en détail. La situation évolue rapidement.
Impact et exposition
Des dizaines de milliers d'organisations maintiennent des instances SharePoint Server on-premises, avec des concentrations importantes dans les secteurs public, défense, finance, santé et industrie. En France, SharePoint reste très répandu dans les administrations publiques, les ETI et les grandes entreprises qui n'ont pas encore migré vers Microsoft 365. La condition d'authentification préalable réduit le risque depuis Internet pour les instances non exposées publiquement, mais n'apporte aucune protection contre un attaquant disposant d'un compte interne — qu'il soit légitime, compromis ou obtenu par phishing. Dans les grandes entreprises, SharePoint est souvent accessible depuis le VPN, ce qui étend le périmètre d'exposition à tout salarié en télétravail dont les credentials ont été compromis.
Recommandations
- Appliquer immédiatement les Cumulative Updates SharePoint du Patch Tuesday de mai 2026 pour toutes les versions concernées (SPSE, 2019, 2016) — références KB disponibles via le Microsoft Update Catalog.
- Inventorier toutes les instances SharePoint on-premises et hybrides dans le périmètre, y compris les fermes secondaires, les environnements de test et les instances de développement.
- Auditer les journaux d'accès SharePoint depuis le 1er mai 2026 pour détecter toute activité suspecte : requêtes inhabituelles vers les endpoints de désérialisation, création de processus enfants depuis w3wp.exe, modifications de tâches planifiées ou de clés de registre de persistance.
- Déployer des règles de détection EDR ciblant les comportements post-exploitation de Storm-2603 : exécution de BloodHound, lancement de Cobalt Strike depuis des processus IIS, dump de credentials LSASS.
- Isoler immédiatement les serveurs SharePoint non patchés derrière des contrôles d'accès réseau stricts et restreindre les accès externes jusqu'à l'application du correctif.
Alerte critique
CVE-2026-45659 est activement exploitée par Storm-2603. Un simple compte contributeur SharePoint suffit à exécuter du code arbitraire sur votre serveur. Si vos instances SharePoint Server ne sont pas patchées avec les mises à jour de mai 2026, traitez cette remédiation comme une urgence absolue avant toute autre action.
Mon SharePoint est derrière un VPN et non exposé sur Internet — suis-je protégé contre CVE-2026-45659 ?
Non. Le VPN réduit l'exposition depuis Internet mais ne constitue pas une protection contre CVE-2026-45659. La vulnérabilité ne requiert que des credentials de niveau « Site Member » — un niveau de permission que possèdent la quasi-totalité de vos collaborateurs. Un attaquant ayant compromis un compte utilisateur via phishing ou credential stuffing dispose de tout ce qu'il faut pour exploiter la faille depuis l'intérieur du périmètre VPN. La seule protection fiable est l'application du patch de mai 2026.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
KDDI : fuite de 14,2 millions de comptes email via six FAI japonais
KDDI a révélé le 23 juin 2026 une compromission de son infrastructure email partagée avec cinq autres FAI japonais. Jusqu'à 14,22 millions d'adresses email et mots de passe ont été exposés suite à l'exploitation d'une faille dans un logiciel tiers non identifié. Réinitialisation des mots de passe recommandée d'urgence pour les abonnés STNet, JCOM, Nifty, BIGLOBE, KDDI Web Communications et Chubu Telecom.
Qilin Ransomware : 500 victimes en 2026, le groupe qui domine l'écosystème RaaS mondial
Avec plus de 500 organisations victimes depuis janvier 2026, le groupe Qilin (ex-Agenda) s'est imposé comme l'opérateur de ransomware le plus actif de l'année. Sa dernière victime déclarée : Chamco, industriel canadien, ciblé le 30 juin 2026. Analyse des TTPs et des défenses.
Google et FBI démantèlent NetNut, 2 M d’appareils libérés
Google, le FBI et Lumen ont démantelé NetNut le 3 juillet 2026, un réseau proxy résidentiel de 2 millions d’appareils exploité par 316 groupes criminels pour masquer des cyberattaques mondiales.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire