CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
En bref
- CVE-2026-45659 : RCE par désérialisation sur SharePoint Server, CVSS 8.8, inscrite au KEV CISA le 1er juillet 2026
- SharePoint Server Subscription Edition, 2019 et Enterprise Server 2016 affectés
- Un compte avec des droits de membre de site suffit à l'exploitation — appliquer le patch de mai 2026 immédiatement
Les faits
La CISA (Cybersecurity and Infrastructure Security Agency) a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, fixant aux agences fédérales américaines une date limite de mise à jour au 4 juillet 2026. Cette inscription confirme ce que la communauté sécurité suspectait depuis plusieurs semaines : la vulnérabilité est activement exploitée dans la nature, contredisant l'évaluation initiale de Microsoft qui l'avait classée « less likely to be exploited » lors de la publication du correctif en mai 2026.
CVE-2026-45659 est une vulnérabilité de désérialisation de données non fiables (CWE-502) dans Microsoft SharePoint Server. Le score CVSS atteint 8,8 sur 10 avec un vecteur d'attaque réseau. La faille a été corrigée par Microsoft fin mai 2026 via une mise à jour de sécurité hors cycle (out-of-band security update). Les versions affectées sont SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Enterprise Server 2016. Pour SharePoint Server 2019, le build minimal corrigé est 16.0.10416.20004 ; pour SharePoint Enterprise Server 2016, il faut être au minimum sur le build 16.0.5552.1002.
Le mécanisme d'exploitation est particulièrement préoccupant. Un attaquant disposant d'un compte avec des droits de « Site Member » — le niveau d'accès par défaut accordé à la majorité des employés dans les déploiements SharePoint d'entreprise — peut déclencher l'exécution de code arbitraire à distance sans élévation de privilèges préalable. Aucune interaction de l'utilisateur cible n'est requise une fois l'authentification obtenue. En pratique, un compte compromis via phishing, credential stuffing ou acheté sur un forum criminel underground suffit pour lancer l'attaque.
Le groupe Storm-2603 a été documenté comme exploitant activement CVE-2026-45659. Ce groupe, connu des équipes de threat intelligence pour son ciblage systématique des vulnérabilités SharePoint, opère un schéma post-exploitation cohérent : déploiement de webshells sur le serveur SharePoint compromis pour maintenir un accès persistant, mouvement latéral vers d'autres systèmes du réseau interne, exfiltration documentaire ciblée, et dans certains cas, staging de données préalable à un chiffrement ransomware.
Les webshells déposés par Storm-2603 sont placés dans des répertoires accessibles via l'interface web de SharePoint — typiquement sous /_layouts/, /sites/ ou dans des bibliothèques de documents. Cette technique permet au groupe de maintenir un foothold persistant même après rotation des mots de passe des comptes compromis. La détection nécessite une inspection active des fichiers du système de fichiers SharePoint et des journaux IIS, pas seulement une surveillance des authentifications.
La réponse de la CISA contraste fortement avec la posture initiale de Microsoft. En mai 2026, l'éditeur avait estimé une exploitation « less likely » — une classification qui peut conduire certaines organisations à différer l'application du correctif hors de leurs cycles de maintenance planifiés. Depuis le 1er juillet et l'inscription au KEV, cette justification n'est plus tenable. The Register et BleepingComputer ont tous deux souligné ce décalage entre l'évaluation initiale de Microsoft et la réalité terrain observée par la CISA et les équipes de réponse aux incidents.
Le catalogue KEV de la CISA est aujourd'hui la référence la plus opérationnelle disponible pour prioriser les patches dans les organisations. Une inscription au KEV signifie qu'une preuve d'exploitation réelle a été établie. Pour les entreprises françaises et européennes utilisant SharePoint en production, les recommandations sont identiques : appliquer le patch immédiatement, sans attendre le prochain cycle de maintenance planifié, et conduire une investigation sur d'éventuelles compromissions antérieures.
La désérialisation de données non fiables est un vecteur d'attaque récurrent sur les plateformes de collaboration d'entreprise. Sur SharePoint en particulier, plusieurs CVE critiques des cinq dernières années ont suivi un schéma similaire : correctif disponible, exploitation rapide, déploiement massif de webshells. CVE-2026-45659 s'inscrit dans cette même logique. La fenêtre entre la publication d'un patch et la mise en exploitation massive se mesure désormais en jours, voire en heures pour les composants aussi répandus que SharePoint. Toute organisation n'ayant pas appliqué le patch de mai 2026 doit considérer que son environnement est potentiellement déjà compromis et conduire une investigation forensique en parallèle du déploiement du correctif.
Impact et exposition
SharePoint Server est une plateforme critique dans la majorité des grandes entreprises et administrations françaises et européennes. Toute organisation ayant déployé SharePoint Server Subscription Edition, 2019 ou Enterprise Server 2016 sans appliquer le correctif de mai 2026 est directement exposée à CVE-2026-45659. L'exploitation ne requiert qu'un compte authentifié avec des droits de membre de site. Les environnements exposant SharePoint sur internet sont en risque d'exploitation directe. Les environnements strictement intranet sont exposés via la compromission préalable d'un compte utilisateur (phishing, credential stuffing, insider threat).
Recommandations
- Immédiat : appliquer le patch de mai 2026 sur tous les serveurs SharePoint (build 16.0.10416.20004 pour 2019, build 16.0.5552.1002 pour 2016 Enterprise). Vérifier via Administration Centrale ou PowerShell : (Get-SPFarm).BuildVersion.
- Chasse aux webshells : inspecter les journaux IIS pour des requêtes POST vers des chemins inhabituels post-authentification. Rechercher les fichiers .aspx ou .asmx créés depuis mai 2026 dans les répertoires SharePoint.
- Détection EDR : activer les alertes sur la création de processus enfants depuis w3wp.exe (worker process IIS SharePoint), signe classique d'exploitation de webshell.
- Revue des accès : auditer les comptes avec droits Site Member ou supérieurs. Appliquer le principe de moindre privilège, notamment pour les comptes de service et les utilisateurs externes.
- Segmentation réseau : si SharePoint est exposé sur internet, vérifier que seuls les points d'accès strictement nécessaires sont publiés. Envisager un WAF avec règles anti-désérialisation.
Alerte critique
CVE-2026-45659 est activement exploitée par Storm-2603 pour déployer des webshells persistants. Un compte employé compromis suffit à prendre le contrôle du serveur SharePoint. Si votre SharePoint n'est pas patché au build de mai 2026, traitez la situation comme une urgence P1 et lancez immédiatement une investigation forensique.
Comment vérifier rapidement si mes serveurs SharePoint sont patchés contre CVE-2026-45659 ?
Connectez-vous à l'Administration Centrale SharePoint, puis allez dans « Mise à niveau et migration » > « Vérifier l'état de l'installation du produit et des correctifs ». En PowerShell depuis le serveur SharePoint : (Get-SPFarm).BuildVersion retourne le build actuel. Pour SharePoint Server 2019, le numéro de build doit être au minimum 16.0.10416.20004. Pour SharePoint Enterprise Server 2016, vérifiez que vous êtes sur 16.0.5552.1002 ou supérieur. Tout build antérieur signifie que votre serveur reste vulnérable à CVE-2026-45659.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
AssuranceAmerica : 7 millions de permis de conduire exposés
AssuranceAmerica révèle une violation touchant près de 7 millions de conducteurs américains : numéros de permis de conduire, données d'assurance et informations personnelles exposés 115 jours après la détection de l'intrusion.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire