En bref

  • 168 vulnérabilités corrigées par Microsoft, dont 8 critiques et 2 zero-days
  • CVE-2026-32201 (SharePoint, CVSS 6.5) : spoofing exploité activement dans la nature
  • CVE-2026-33825 (Defender, BlueHammer) : escalade de privilèges divulguée publiquement

Les faits

Le mardi 14 avril 2026, Microsoft a publié son traditionnel Patch Tuesday corrigeant 168 vulnérabilités, faisant de cette livraison la deuxième plus volumineuse derrière celle d'octobre 2025. Selon Tenable et Cybersecurity News, deux zero-days y figurent. Le premier, CVE-2026-32201, est une faille de spoofing dans SharePoint Server (CVSS 6.5) déjà exploitée dans la nature avant la disponibilité du correctif. Le second, CVE-2026-33825, baptisée BlueHammer, est une escalade de privilèges dans Microsoft Defender publiée prématurément par un chercheur en désaccord avec le programme de bug bounty de Microsoft. Les deux failles ont déclenché une alerte immédiate des équipes CERT-FR et US-CERT.

La CISA a immédiatement ajouté CVE-2026-32201 au catalogue KEV et impose aux agences fédérales américaines un correctif avant le 28 avril 2026. Microsoft précise que la faille SharePoint permet à un attaquant non authentifié d'usurper l'identité d'un utilisateur légitime via une validation d'entrée déficiente, compromettant confidentialité et intégrité sans toucher la disponibilité. Les versions concernées sont SharePoint 2016, 2019 et Subscription Edition. Le patch se déploie via Windows Update standard pour les serveurs gérés ou via le Microsoft Update Catalog pour les déploiements hors-ligne.

Impact et exposition

Les organisations qui exposent SharePoint Server en accès intranet ou extranet sont prioritairement visées. Le scénario typique : un attaquant en réseau adjacent forge une requête SharePoint qui usurpe l'identité d'un utilisateur authentifié, accédant à des documents confidentiels ou modifiant des contenus partagés. Côté Defender, BlueHammer permet à un compte local non privilégié d'escalader vers SYSTEM, ce qui en fait un excellent maillon de chaîne post-compromission pour les opérateurs de ransomware qui ont déjà obtenu un foothold initial sur un poste utilisateur.

Recommandations

  • Appliquer immédiatement les correctifs SharePoint 2016/2019/Subscription Edition
  • Déployer la mise à jour Defender du 14 avril sur l'ensemble du parc Windows
  • Auditer les logs SharePoint des 30 derniers jours pour détecter des accès anormaux
  • Prioriser les serveurs SharePoint exposés publiquement : isolation réseau temporaire si patch impossible sous 48h

Alerte critique

Le délai entre divulgation publique de BlueHammer et patch officiel a laissé une fenêtre d'exploitation. Vérifiez vos endpoints Defender pour détecter toute élévation de privilèges suspecte intervenue avant le 14 avril 2026.

Mes serveurs SharePoint sont-ils prioritaires sur les autres correctifs ?

Oui si exposés au-delà du LAN. CVE-2026-32201 est exploitée activement et la CISA a fixé une échéance KEV au 28 avril. Pour SharePoint en intranet strict, la priorité reste élevée mais peut s'inscrire dans votre cycle de patch standard sous 7 jours, à condition d'auditer en parallèle l'intégrité de vos sites collaboratifs.

Comment détecter une exploitation de BlueHammer sur mon parc ?

Surveillez les Event ID 4672 (privilèges spéciaux assignés) générés par des comptes non administratifs, ainsi que toute interaction inhabituelle avec MsMpEng.exe. Les outils EDR doivent être mis à jour pour intégrer les nouvelles signatures publiées par Microsoft le 14 avril.

Pour approfondir : notre suivi des deux zero-days Defender RedSun et UnDefend, ainsi que les analyses sur le retard de triage des CVE par le NIST. Côté défense, consultez notre guide Active Directory 2026 et notre dossier sur les techniques de contournement EDR.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit