CVE-2026-32201 : zero-day SharePoint exploite activement (BlueHammer)

16 April 2026

•

Mis à jour le 16 April 2026

•

5 min de lecture

•

643 mots

•

11 vues

Microsoft a corrige en avril 2026 un zero-day SharePoint exploite dans la nature. La faille CVE-2026-32201 permet une usurpation de contenu sur les serveurs SharePoint 2016, 2019 et Subscription Edition.

En bref

Microsoft confirme l'exploitation active de CVE-2026-32201 sur SharePoint Server (CVSS 6.5).
SharePoint 2016, 2019 et Subscription Edition sont vulnerables ; aucune interaction utilisateur requise.
CISA exige le patch avant le 28 avril 2026 pour les agences federales americaines.

Les faits

Lors du Patch Tuesday d'avril 2026, Microsoft a publie un correctif d'urgence pour CVE-2026-32201, une vulnerabilite d'usurpation de contenu (spoofing) affectant Microsoft SharePoint Server. La faille, decouverte en exploitation active, decoule d'une validation insuffisante des entrees dans le moteur de rendu SharePoint. Elle permet a un attaquant non authentifie d'injecter du contenu spoofe via le reseau, avec une faible complexite d'attaque et sans interaction utilisateur. Microsoft a confirme l'exploitation in-the-wild dans son advisory du 14 avril 2026.

L'exploit observe en environnement de production presente des similarites avec la chaine d'attaque baptisee BlueHammer, dont une preuve de concept a ete publiee sur GitHub le 3 avril 2026 par un chercheur sous l'alias Chaotic Eclipse. Selon Tenable et CrowdStrike, plusieurs campagnes ciblent deja des intranets d'entreprise via cette faille, notamment dans les secteurs gouvernemental et financier. La CISA a inscrit CVE-2026-32201 a son catalogue Known Exploited Vulnerabilities et impose une remediation avant le 28 avril 2026 pour toutes les agences federales civiles.

Impact et exposition

Sont concernes les serveurs SharePoint 2016, SharePoint 2019 et SharePoint Server Subscription Edition exposes a un reseau accessible (intranet ou Internet). Selon les donnees de Shodan, plus de 21 000 instances SharePoint sont visibles publiquement, dont une majorite n'avait pas applique le patch dans les 48 heures suivant la divulgation. L'exploitation reussie permet la divulgation et la modification de contenus sensibles : documents, listes, pages d'equipe. Combinee a d'autres faiblesses SharePoint, elle sert de vecteur initial pour des compromissions plus larges (vol de jetons OAuth, exfiltration de bibliotheques entieres).

Recommandations

Appliquer immediatement la mise a jour de securite d'avril 2026 pour SharePoint Server (KB associes selon la version).
Verifier dans les logs IIS toute requete anormale vers les endpoints SharePoint depuis le 3 avril 2026, notamment des POST avec du contenu HTML inattendu.
Restreindre l'exposition Internet des fermes SharePoint et placer un WAF avec regles SharePoint a jour devant les frontends.
Auditer les permissions OAuth et les jetons d'acces emis recemment ; revoquer ceux dont l'origine est suspecte.
Activer les detections EDR sur l'execution de scripts inattendus par w3wp.exe et OWSTIMER.EXE.

Alerte critique

CVE-2026-32201 est exploitee depuis au moins le 3 avril 2026 et les chaines d'attaque observees combinent cette faille avec des elevations de privileges Windows recentes. Pour les fermes SharePoint exposees, considerez tout serveur non patche comme potentiellement compromis et lancez une revue forensique des 30 derniers jours.

Le score CVSS de 6.5 justifie-t-il une remediation en urgence ?

Oui. Le score CVSS reflete l'impact technique brut, pas le contexte d'exploitation. Ici, l'inscription au KEV de la CISA, la disponibilite publique d'un PoC et l'exploitation confirmee par Microsoft elevent le risque reel bien au-dessus du score nominal. Une faille CVSS 6.5 activement exploitee dans une infrastructure de collaboration centrale justifie un traitement equivalent a une CVE 9.x non exploitee.

SharePoint Online (Microsoft 365) est-il concerne ?

Non, la vulnerabilite affecte uniquement les versions on-premise de SharePoint Server. Les tenants SharePoint Online beneficient d'un correctif applique cote service par Microsoft. Les organisations en architecture hybride doivent toutefois patcher leurs serveurs locaux et auditer les flux entre on-prem et cloud.

Comment detecter une exploitation deja survenue ?

Recherchez dans les logs IIS et SharePoint des requetes POST inhabituelles vers les pages /_layouts/, des jetons OAuth emis depuis des IP non-reconnues, et des modifications de contenu non tracees dans l'historique de versions SharePoint. L'EDR doit alerter sur toute creation de processus enfant par w3wp.exe correspondant a powershell.exe, cmd.exe ou wscript.exe.

Votre infrastructure est-elle exposee ?

Ayi NEDJIMI realise des audits de securite cibles pour identifier et corriger vos vulnerabilites SharePoint avant qu'elles ne soient exploitees.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Disponible

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans

700+

articles

100+

missions

Gouvernance & Conformité

NIS2 · ISO 27001 · DORA · RGPD

Sécurité Offensive & Défensive

Pentest · Forensics · Rétro-ingénierie

Développement Avancé

IA / LLM · Go · Cloud · DevSecOps

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.

À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.

Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.

Pentest AD Cloud Security Forensics Rétro-ingénierie IA / LLM / RAG NIS2 / ISO 27001 OT / ICS Go / DevSecOps

Profil complet

Ressources & Outils de l'auteur

GitHub

Code & projets open source

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

ShinyHunters publie 78,6 millions de records Rockstar (GTA Online)

Apres l'expiration de l'ultimatum du 14 avril 2026, ShinyHunters a publie 78,6 millions d'enregistrements lies a GTA Online et Red Dead Online. La compromission est passee par le SaaS tiers Anodot.

16/04/2026

CVE-2026-33032 : faille critique nginx-ui exploitee (MCPwn)

La faille CVE-2026-33032, codee MCPwn par Pluto Security, expose plus de 2 689 instances nginx-ui a une prise de controle totale. Le correctif 2.3.4 doit etre applique en urgence.

16/04/2026

OpenAI lance GPT-5.4-Cyber, un modèle IA pour la cyber

OpenAI dévoile GPT-5.4-Cyber, une déclinaison de son modèle phare optimisée pour la cyberdéfense, avec accès restreint aux chercheurs et organisations vérifiées via le programme Trusted Access for Cyber.

16/04/2026

Article précédent

OpenAI lance GPT-5.4-Cyber, un modèle IA pour la cyber

Article suivant

CVE-2026-33032 : faille critique nginx-ui exploitee (MCPwn)

Commentaires (1)

Romain Leclercq 01/01/0001 à 00:00

Bon rappel sur le delta entre score CVSS et risque reel. On a justement debattu de ce point en COSEC la semaine derniere, c'est typiquement le genre de cas ou la doctrine "on patche selon le score" coince. Merci pour l'analyse claire.

Laisser un commentaire