CVE-2026-45659, désérialisation SharePoint Server CVSS 8.8, est activement exploitée par le groupe Warlock/STORM-2603. CISA KEV depuis le 1er juillet 2026 avec délai de remédiation de 72 h pour les agences fédérales.
En bref
- CVE-2026-45659 : désérialisation non sécurisée dans SharePoint Server, CVSS 8.8 — RCE pour tout attaquant authentifié au niveau Site Member.
- Affecte SharePoint Server Subscription Edition, Server 2019 et Enterprise Server 2016 — patch disponible depuis mai 2026.
- CISA KEV : ajout le 1er juillet 2026. Délai de 72 h pour les agences FCEB. Groupe Warlock (STORM-2603) lié à l'exploitation active.
Les faits
Le 1er juillet 2026, la CISA a officiellement inscrit CVE-2026-45659 dans son catalogue Known Exploited Vulnerabilities (KEV), confirmant une exploitation active en conditions réelles. La faille réside dans le mécanisme de désérialisation d'objets non fiables de Microsoft SharePoint Server et permet à un attaquant authentifié d'exécuter du code arbitraire sur le serveur cible. Le score CVSS v3.1 est de 8.8, avec un impact total sur la confidentialité, l'intégrité et la disponibilité du système.
La vulnérabilité avait été corrigée par Microsoft dans le Patch Tuesday de mai 2026, couvrant trois versions : SharePoint Server Subscription Edition, Server 2019 et Enterprise Server 2016. Ce qui rend le cas particulièrement instructif est la position initiale de Microsoft : l'éditeur avait classifié la probabilité d'exploitation comme « moins élevée » dans son bulletin de sécurité — une évaluation contredite par les faits en six semaines. La CISA a imposé un délai de remédiation de seulement 72 heures aux agences fédérales FCEB, signal fort de la gravité opérationnelle perçue.
La surface d'attaque est définie par le niveau de privilège minimal requis : un compte Site Member, c'est-à-dire le niveau d'accès standard accordé à la majorité des collaborateurs d'une organisation utilisant SharePoint comme intranet ou portail documentaire. Dans les environnements exposant SharePoint à des utilisateurs externes — partenaires, fournisseurs, sous-traitants — ce prérequis est trivial à satisfaire. L'attaquant construit un payload de désérialisation malveillant soumis via une requête HTTP authentifiée, déclenchant l'exécution de code dans le contexte du processus SharePoint (w3wp.exe).
La chaîne d'attaque documentée par BleepingComputer, The Register et Penligent suit quatre temps. Première phase : acquisition de credentials SharePoint valides via phishing ciblé simulant des notifications SharePoint, via des infostealers (RedLine, LummaC2) ou par credential stuffing depuis des bases de données compromises. Deuxième phase : authentification avec les droits minimaux Site Member. Troisième phase : envoi du payload de désérialisation et obtention d'un shell côté serveur. Quatrième phase : déploiement de webshells persistants, reconnaissance interne et mouvement latéral.
Le groupe ransomware Warlock, suivi sous le cluster STORM-2603, a été directement associé aux premières vagues d'exploitation selon les renseignements publiés par Hard2bit mi-juillet 2026. Warlock est un acteur RaaS apparu fin 2025 dont le modèle opératoire repose sur l'exploitation rapide des KEV récentes. Dans les incidents documentés liés à CVE-2026-45659, le délai médian entre compromission initiale de SharePoint et déploiement effectif du ransomware est estimé entre 12 et 36 heures — laissant une fenêtre d'intervention très étroite pour les équipes IR.
La criticité de SharePoint dans les organisations françaises mérite d'être soulignée. Déployé comme base documentaire, portail RH, intranet collaboratif et dépôt de données contractuelles, SharePoint héberge fréquemment des documents classifiés, des contrats, des données personnelles de collaborateurs et des accès à des systèmes tiers via des workflows Power Automate. Un attaquant qui prend pied sur un serveur SharePoint accède à l'ensemble des bibliothèques documentaires, peut extraire les tokens d'authentification en cache et pivoter vers Microsoft 365 et Azure AD si les intégrations sont actives.
Les secteurs les plus exposés en France sont l'industrie manufacturière, les collectivités territoriales, le secteur hospitalier et les services publics, qui maintiennent fréquemment des instances SharePoint on-premise vieillissantes. Selon Penligent, plusieurs milliers d'instances non patchées restent accessibles depuis Internet en Europe au 11 juillet 2026. Les organisations sous obligation NIS2 doivent documenter l'application du correctif ou la mise en place de mesures compensatoires.
Du point de vue forensique, les indicateurs de compromission les plus fiables sont : la présence de fichiers .aspx inconnus dans les répertoires virtuels SharePoint (notamment sous /_layouts/15/, /SiteAssets/) ; des requêtes HTTP POST anormales vers les endpoints de sérialisation dans les logs IIS ; des connexions sortantes depuis w3wp.exe vers des IP non répertoriées ; des modifications de permissions SharePoint non initiées par un administrateur. Les équipes DFIR recommandent également d'analyser les journaux ULS pour identifier les exceptions de désérialisation inhabituelles.
Impact et exposition
Toute organisation opérant SharePoint Server on-premise sans les correctifs de mai 2026 est exposée. SharePoint Online hébergé par Microsoft n'est pas affecté. L'exploitation requiert une authentification minimale (Site Member), condition remplie par tout utilisateur interne et par de nombreux comptes externes dans les environnements collaboratifs. Les portails SharePoint accessibles depuis Internet sans restriction d'IP — extranets fournisseurs, portails partenaires — sont en priorité de risque maximale.
Recommandations
- Patch immédiat : appliquer le correctif Microsoft de mai 2026 pour SharePoint Server Subscription Edition, 2019 et 2016. Si impossible immédiatement, isoler les serveurs d'Internet.
- Chasse aux webshells : auditer les répertoires virtuels SharePoint à la recherche de fichiers .aspx, .asmx ou .ashx non répertoriés (YARA, Thor Lite, Get-SPWeb).
- Surveillance SIEM : créer des règles d'alerte sur les requêtes POST vers les endpoints de désérialisation SharePoint et sur les connexions sortantes depuis w3wp.exe.
- Rotation des credentials : révoquer et renouveler les credentials de tous les comptes SharePoint, en priorité les comptes de service et prestataires.
- Segmentation réseau : restreindre l'accès aux serveurs SharePoint aux seules plages IP autorisées et bloquer les connexions sortantes non nécessaires.
Alerte critique
CVE-2026-45659 est activement exploitée par le groupe ransomware Warlock (STORM-2603). Si votre organisation opère SharePoint Server on-premise sans le patch de mai 2026, traitez votre infrastructure comme potentiellement compromise. Priorité : isoler, investiguer, patcher — dans cet ordre.
Mon SharePoint est accessible uniquement via VPN interne — suis-je protégé ?
Un VPN réduit la surface d'attaque externe mais ne protège pas contre un attaquant ayant déjà compromis un poste interne via phishing ou malware — scénario de loin le plus fréquent. CVE-2026-45659 ne requiert que des droits Site Member que tout utilisateur standard possède. Le patch reste impératif quelle que soit la topologie réseau.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Claude Science : Anthropic entre dans la R&D pharmaceutique
Anthropic lance Claude Science, une plateforme IA intégrant 60+ outils scientifiques pour la recherche pharmaceutique, et annonce un programme interne de découverte de médicaments pour maladies négligées.
HSIN compromis : le DHS confirme une brèche sur son réseau
Le DHS confirme une intrusion sur HSIN, son réseau sensible de partage d'informations sécuritaires, survenue entre fin mai et début juin 2026, à quelques semaines de la finale de la Coupe du Monde FIFA 2026.
UK finance : Microsoft, AWS, Google et Oracle en tiers critiques
Le Royaume-Uni désigne Microsoft, AWS, Google et Oracle comme tiers critiques du secteur financier, plaçant ces hyperscalers sous la supervision directe de la Banque d'Angleterre et de la FCA à compter du 13 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire