NG Solution Team
Cybersécurité

SharePoint: CISA alerte sur trois failles activement exploitées

La Cybersecurity and Infrastructure Security Agency (CISA) a averti le 14 juillet que trois vulnérabilités affectant Microsoft SharePoint Server sont activement exploitées, dont une découverte dès avril. Les failles — CVE-2026-32201 (14 avril), CVE-2026-45659 (1er juillet) et CVE-2026-56164 (14 juillet) — ont été ajoutées au catalogue Known Exploited Vulnerabilities (KEV) de la CISA ; la dernière reçoit un score CVSS de 9,8 selon NIST.

## Ce que dit l’alerte de la CISA
L’avis de la CISA signale une exploitation en cours et classe ces vulnérabilités comme prioritaires pour la réponse aux incidents. Le fait d’être inscrit au KEV indique, selon l’agence, qu’il existe des preuves d’exploitation active. Pour la vulnérabilité la plus récente, les agences fédérales ont reçu un délai de remédiation très court — jusqu’au 17 juillet — ce qui illustre la gravité perçue par la CISA.

## Mécanismes d’attaque observés
Les acteurs malveillants identifiés exploitent ces failles pour voler des clés machine IIS et utiliser des techniques de désérialisation afin d’obtenir une persistance et de déployer des malwares. Le vol de clés machine IIS est particulièrement préoccupant : il permet, si elles ne sont pas remplacées, de forger des authentifications valides même après le déploiement d’un correctif.

## Pourquoi SharePoint est une cible critique
SharePoint n’est plus seulement un simple serveur de fichiers. Selon des experts cités par la CISA, il contient souvent la mémoire institutionnelle de l’organisation — documentation technique, RH, finances, contrats, procédures de sécurité, schémas d’architecture — et est fréquemment lié à Active Directory et à d’autres systèmes métiers. Douglas McKee, directeur de la vulnérabilité chez Rapid7, rappelle que la compromission d’un serveur SharePoint peut servir de point de départ pour un mouvement latéral étendu dans l’environnement.

## Chronologie et stratégie des attaquants
Le fait que les trois CVE aient été publiés et ajoutés au KEV sur une période de trois mois suggère, d’après Roman Sannikov (iCounter), qu’un point d’entrée initial a été exploité puis exploité de façon prolongée pour étendre ou rétablir l’accès au fur et à mesure que les défenseurs réagissaient. Cette stratégie de « progression » rend la simple application de correctifs insuffisante si des artefacts compromis — comme les clés IIS — demeurent.

## Mesures recommandées pour les équipes IT
Les experts insistent sur l’urgence de traiter ces vulnérabilités comme des priorités d’intervention, pas seulement comme des opérations de maintenance courante. Au-delà du patching immédiat, ils recommandent :
– considérer la possibilité d’une compromission antérieure et enclencher une réponse incident complète ;
– remplacer/rotater les clés et autres secrets susceptibles d’avoir été volés ;
– appliquer le principe du moindre privilège et revoir en continu les permissions ;
– classer les données sensibles et segmenter les systèmes critiques pour limiter le mouvement latéral.

Louis Eichenbaum (ColorTokens) résume la posture défensive : ne pas se contenter d’un correctif rapide, mais supposer qu’un attaquant, une fois dans SharePoint, cherchera immédiatement des informations facilitant l’escalade et la propagation.

Pour les équipes responsables de SharePoint, l’impératif est donc double : combler rapidement les failles signalées par la CISA et vérifier si des artefacts volés permettent encore un accès persistant. Sans ces deux volets, le simple déploiement d’un correctif risque de laisser des traces d’accès qui permettront aux attaquants de revenir.

Related posts

Les smartphones stockent-ils trop de données sans protection ?

Marie Martin

Is NeuroByte’s DataMind Revolutionizing Data Backup and Recovery?

Michael Johnson

Comment l’action d’Apple réagira-t-elle à la faille de sécurité en Inde ?

Jean Dupont

This website uses cookies to improve your experience. We assume you agree, but you can opt out if you wish. Accept More Info

Privacy & Cookies Policy