En bref

  • CVE-2026-32201 (CVSS 6.5) : vulnérabilité de spoofing dans Microsoft SharePoint Server exploitée comme zero-day avant le Patch Tuesday d''avril 2026, permettant l''usurpation de contenus et de ressources SharePoint côté utilisateur.
  • Produits affectés : SharePoint Server 2019, SharePoint Subscription Edition et SharePoint Server Enterprise 2016. SharePoint Online n''est pas concerné.
  • Patch disponible depuis le 14 avril 2026 dans le Patch Tuesday Microsoft. Ajoutée au catalogue KEV de la CISA. Patcher immédiatement et rechercher des artefacts de phishing ciblé.

Microsoft a publié le 14 avril 2026, dans son Patch Tuesday mensuel, un correctif pour la vulnérabilité CVE-2026-32201, une faille de spoofing affectant Microsoft SharePoint Server et exploitée comme zero-day avant même la mise à disposition du patch. Notée CVSS 6.5, cette faille permet à un attaquant distant non authentifié de générer des requêtes qui contournent la couche de validation d''entrée du rendu SharePoint pour afficher des contenus usurpés — typiquement de faux formulaires de connexion, des documents modifiés ou des liens de téléchargement malveillants — tout en conservant le domaine de confiance de l''organisation. D''après Microsoft Security Response Center et l''analyse publiée par Zero Day Initiative, l''exploitation a été détectée dans des campagnes ciblées visant des entreprises exposant leur SharePoint en accès externe ou via VPN avant la publication du correctif. La CISA a inscrit la vulnérabilité à son catalogue Known Exploited Vulnerabilities (KEV) et impose aux agences fédérales une remédiation dans le cadre du Binding Operational Directive 22-01.

Les faits

Le Patch Tuesday d''avril 2026, décrit comme l''un des plus lourds de l''histoire Microsoft avec 167 correctifs dont 2 zero-days confirmés, a inclus CVE-2026-32201 parmi les vulnérabilités activement exploitées. La faille trouve son origine dans la couche de traitement des requêtes SharePoint chargée du rendu des pages, listes et documents. D''après l''analyse technique publiée par Foresiet et relayée dans le bulletin Microsoft KB5037849, la sanitisation insuffisante des paramètres transmis en HTTP permet à un attaquant de soumettre des données malformées qui contournent les contrôles d''authenticité du contenu. Concrètement, le payload apparaît à l''utilisateur comme un contenu SharePoint légitime — même certificat TLS, même URL, même branding — alors qu''il s''agit en réalité d''un contenu contrôlé par l''attaquant.

Microsoft classe CVE-2026-32201 comme Spoofing, un niveau apparemment modeste qui sous-estime fortement l''impact opérationnel. La plupart des attaques documentées portent sur du vol d''identifiants via des formulaires SharePoint falsifiés, mais certains cas impliquent le dépôt de documents Office piégés avec des macros qui aboutissent à une exécution de code sur le poste de la victime. Le vecteur CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N reflète la nécessité d''une interaction utilisateur et l''impact croisé sur la confidentialité et l''intégrité au-delà du périmètre SharePoint initial.

Impact et exposition

Les organisations qui exposent SharePoint Server en accès Internet — que ce soit directement, via un reverse proxy ou à travers un concentrateur VPN — constituent la cible prioritaire. Les scénarios d''exploitation observés par Microsoft Threat Intelligence incluent la diffusion de liens SharePoint authentiques dans des courriels de spear-phishing qui conduisent vers des pages de connexion usurpées capturant les credentials Azure AD ou Microsoft 365. Dans les déploiements hybrides où SharePoint on-premise fédère les identités avec Microsoft Entra ID, le vol de session peut pivoter vers les services cloud associés. Les installations entièrement internes restent vulnérables en cas de compromission initiale d''un poste de l''entreprise qui sert ensuite de relais pour les requêtes de spoofing.

Recommandations immédiates

  • Appliquer immédiatement les correctifs du Patch Tuesday d''avril 2026 pour SharePoint Server 2019 (KB5037849), SharePoint Subscription Edition et SharePoint Server Enterprise 2016 — bulletin Microsoft MSRC CVE-2026-32201.
  • Activer l''authentification moderne Azure AD et la MFA obligatoire pour tous les accès SharePoint ; désactiver l''authentification basique héritée.
  • Inspecter les logs IIS de la ferme SharePoint depuis le 1er avril 2026 pour détecter des requêtes anormales contenant des paramètres d''URL encodés ou des séquences /_layouts/ avec caractères Unicode inhabituels.
  • Sensibiliser les utilisateurs aux pages de connexion SharePoint atypiques et imposer la vérification de l''URL dans la barre d''adresse avant saisie de credentials.
  • Pour les déploiements exposés, envisager un WAF en coupure avec règles Microsoft-Recommended et inspection approfondie des URL SharePoint.

⚠️ Urgence

Exploitation zero-day confirmée par Microsoft avant la publication du patch du 14 avril 2026. La CISA a inscrit la vulnérabilité au catalogue KEV, avec obligation de remédiation pour les agences fédérales. Même si le score CVSS 6.5 paraît modéré, le mode opératoire — spoofing de pages SharePoint légitimes — constitue un outil redoutable pour les campagnes de phishing ciblé et le vol d''identifiants, susceptible d''ouvrir un accès complet à l''environnement Microsoft 365 fédéré.

Comment savoir si je suis vulnérable ?

Dans l''administration centrale SharePoint, vérifiez la version de build sous « Paramètres système → Serveurs dans la ferme ». Pour SharePoint Server 2019, la version corrigée est 16.0.10412.20001 ou ultérieure (avril 2026). Vous pouvez également exécuter Get-SPFarm | Select-Object BuildVersion dans la Management Shell SharePoint. Toute version antérieure au cumulatif d''avril 2026 est vulnérable. SharePoint Online dans Microsoft 365 est patché automatiquement.

Une simple MFA protège-t-elle contre cette faille ?

Non pas complètement. La MFA protège contre le réemploi de credentials volés, mais un attaquant qui présente un formulaire de connexion usurpé via CVE-2026-32201 peut également intercepter le jeton de session ou relayer la demande MFA vers le service légitime en temps réel (adversary-in-the-middle). Seule l''application du patch élimine le chemin d''attaque. La MFA reste un contrôle complémentaire indispensable mais pas suffisant.

Les lecteurs qui administrent une ferme SharePoint retrouveront un contexte complémentaire dans notre dossier sur la RCE Windows TCP/IP via IPv6 CVE-2026-33827, également publiée dans le Patch Tuesday d''avril 2026. Les mécanismes de spoofing et de compromission de pages web recoupent ceux analysés dans le bypass sandbox Thymeleaf vers SSTI. Pour comprendre le cycle d''exploitation des zero-days avant patch, consultez notre analyse du zero-day Adobe Acrobat Reader CVE-2026-34621 ainsi que celle du zero-day TrueConf exploité par la Chine. Enfin, les problématiques de durcissement de l''authentification en environnement Active Directory sont abordées dans la RCE Active Directory via RPC.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit