SharePoint : 1 300 serveurs exposés à la CVE-2026-32201

Ce qui s'est passé

Les données publiées le 22 avril 2026 par plusieurs sociétés de monitoring confirment que plus de 1 300 serveurs Microsoft SharePoint exposés publiquement restent vulnérables à la CVE-2026-32201, un zero-day de spoofing corrigé le 14 avril dans le Patch Tuesday d'avril mais exploité dans la nature avant la disponibilité du correctif. Moins de 200 systèmes ont été patchés depuis la publication des mises à jour, soit un taux de remédiation inférieur à 15 % sur la période. La faille affecte SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition, et repose sur une validation d'entrée incorrecte qui autorise un attaquant non authentifié à usurper une identité réseau en faible complexité, sans interaction utilisateur requise. Microsoft classe la vulnérabilité en criticité « Important » avec un score CVSS de 6,5, mais la facilité d'exploitation et l'usage observé avant correctif justifient une action immédiate.

La CISA a intégré la CVE-2026-32201 à son catalogue Known Exploited Vulnerabilities dès la disponibilité du patch, avec une obligation de remédiation au 28 avril pour les agences fédérales américaines. Les chercheurs qui ont suivi l'exploitation décrivent des chaînes d'attaque combinant ce spoofing avec d'autres failles SharePoint déjà connues pour obtenir un accès authentifié sur le portail cible, puis pivoter vers des ressources Microsoft 365 liées via les tokens OAuth partagés.

Côté impact métier, un attaquant qui exploite la CVE-2026-32201 peut consulter des informations sensibles exposées par le serveur SharePoint, modifier certains contenus publiés, mais ne peut pas restreindre l'accès aux ressources. C'est moins bruyant qu'une prise de contrôle totale, mais suffisant pour lire des documents confidentiels, manipuler des pages de communication interne ou injecter du contenu trompeur dans un intranet.

Pourquoi c'est important

SharePoint reste l'un des piliers de la collaboration en entreprise, et l'on-premise garde une présence significative dans les secteurs régulés (banque, défense, santé) qui n'ont pas migré vers SharePoint Online. La présence de plus de 1 300 serveurs non patchés deux semaines après la disponibilité du correctif — alors que l'exploitation est publique et documentée — illustre la lenteur structurelle des cycles de mise à jour sur les plateformes Microsoft on-premise. Chaque jour écoulé élargit la fenêtre d'opportunité pour les attaquants.

L'avril 2026 s'avère particulièrement chargé pour les équipes Microsoft : le Patch Tuesday du 14 avril a corrigé 167 vulnérabilités, suivi d'un patch out-of-band sur ASP.NET Core, tandis que la faille Windows IKE BlueHammer a poussé les SOC à gérer plusieurs priorités critiques en parallèle. Le catalogue CISA KEV a lui-même gagné 8 entrées le 20 avril, saturant les équipes de patch management.

Au-delà du cas SharePoint, la situation met en évidence une réalité opérationnelle : les zero-days exploités avant correctif deviennent la norme dans le calendrier Microsoft, et la fenêtre entre disclosure publique et exploitation de masse ne dépasse plus quelques heures — un schéma observé également sur les failles Cisco ISE et Webex critiques d'avril. Les organisations qui attendent le prochain cycle de maintenance mensuel planifié pour déployer les correctifs jouent statistiquement avec le feu.

Ce qu'il faut retenir

• Appliquer sans délai les mises à jour SharePoint d'avril 2026 sur toutes les instances on-premise, y compris les serveurs internes non exposés.
• Auditer les connecteurs OAuth entre SharePoint et Microsoft 365 pour détecter tout token suspect créé avant le 14 avril.
• Surveiller les journaux IIS et les alertes Defender for Cloud Apps pour repérer les tentatives de spoofing caractéristiques de la chaîne d'attaque.
• Pour les agences fédérales et leurs sous-traitants soumis à la BOD 22-01, appliquer la remédiation avant la date limite du 28 avril fixée par la CISA.