CVE-2026-32201 frappe SharePoint Server : spoofing non authentifié exploité comme zero-day, 1 370 serveurs encore vulnérables. La CISA impose la remédiation au 28 avril.
En bref
- CVE-2026-32201 : spoofing SharePoint exploité comme zero-day, sans authentification ni interaction
- Plus de 1 300 serveurs SharePoint exposés sur Internet restent non patchés (SharePoint 2016, 2019 et Subscription Edition)
- CISA a fixé l'échéance de remédiation fédérale au 28 avril 2026 — le couperet tombe demain
Les faits
Microsoft a publié le 14 avril 2026 le correctif de CVE-2026-32201, une vulnérabilité de spoofing dans SharePoint Server découlant d'une validation d'entrée insuffisante dans la logique de traitement des requêtes. Selon Microsoft, la faille était déjà exploitée comme zero-day au moment de la publication. Le score CVSS de 6.5 cache une réalité opérationnelle plus dure : aucun login, aucune interaction utilisateur, aucune condition particulière n'est requise pour déclencher l'exploitation.
Plusieurs sources concordantes (BleepingComputer, Cyber Security News, SentinelOne) recensent au 26 avril plus de 1 370 serveurs SharePoint accessibles publiquement et toujours vulnérables. La CISA a inscrit la CVE à son catalogue Known Exploited Vulnerabilities dès le 14 avril, avec une deadline de remédiation au 28 avril 2026 pour les agences fédérales américaines (FCEB).
Impact et exposition
Sont concernées les versions SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition (modèle continuous update). Un attaquant non authentifié envoie des requêtes HTTP forgées contre les endpoints publics du serveur, manipulant les chaînes de requête, en-têtes ou champs de formulaire pour influencer la manière dont les contenus sont rendus. Concrètement, des données contrôlées par l'attaquant apparaissent comme du contenu légitime du portail, ouvrant la voie à des usurpations d'identité applicatives, à du vol de session par phishing interne crédibilisé, ou à des escalades vers d'autres systèmes intégrés (Teams, OneDrive, connecteurs métier).
Recommandations
- Appliquer immédiatement le correctif d'avril 2026 sur toutes les instances SharePoint Server, y compris celles considérées comme « internes » derrière un VPN ou un reverse proxy
- Auditer les logs IIS et SharePoint des 30 derniers jours pour détecter des requêtes anormales sur les endpoints _layouts/15/, _api/, _vti_bin/ avec des en-têtes ou paramètres atypiques
- Restreindre l'exposition publique des SharePoint on-premises : pré-authentification au niveau du reverse proxy (WAF, Azure AD App Proxy, F5 APM) avant toute requête atteignant le serveur
- Mettre en place une rotation des secrets des comptes de service et des Managed Service Accounts utilisés par SharePoint, par précaution post-exploitation
Alerte critique
L'exploitation est confirmée et la fenêtre de remédiation imposée par la CISA expire le 28 avril 2026. Si vos SharePoint on-premises sont exposés et non patchés à cette date, considérez le risque de compromission comme matérialisé et planifiez une chasse aux indicateurs sans attendre.
Le score CVSS de 6.5 reflète-t-il vraiment la criticité ?
Non. La CVE est classée comme spoofing donc le scoring CVSS reste modéré, mais l'absence d'authentification et l'inscription au KEV en font une vulnérabilité critique en exploitation. Le score CVSS ne capture pas la facilité d'usage de la faille comme tremplin pour des attaques de phishing internes ou de pivot. Ne basez pas votre triage uniquement sur le CVSS quand la CISA inscrit la CVE au KEV.
Quels indicateurs surveiller dans les logs SharePoint ?
Recherchez des requêtes vers _layouts/15/, _api/web ou _vti_bin/ avec des en-têtes Host atypiques, des paramètres d'identifiants de ressource manipulés (ListId, WebId, SiteId) ou des User-Agents non standards. Croisez avec les pics anormaux de réponses 200 sur des endpoints habituellement peu sollicités. Toute trace de récupération massive de listes ou de bibliothèques par un compte non authentifié doit déclencher une investigation.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CISA AA26-097A : CyberAv3ngers cible les PLC Rockwell aux États-Unis
CISA AA26-097A alerte sur CyberAv3ngers (IRGC) qui compromet des PLC Rockwell exposés Internet. Eau, énergie, services US touchés depuis mars 2026.
APT28 PRISMEX : steganographie et COM hijacking contre l'OTAN
APT28 déploie PRISMEX, suite malveillante avec steganographie, COM hijacking et C2 via Filen.io. Cibles : Ukraine, OTAN, logistique défense européenne.
Cohere absorbe Aleph Alpha : 20 Md$ pour l'IA souveraine
Le canadien Cohere fusionne avec l'allemand Aleph Alpha dans une entité valorisée 20 Md$, soutenue par 600 M$ du Schwarz Group, pour bâtir une IA souveraine européenne déployable sur le cloud STACKIT.
Commentaires (1)
Laisser un commentaire