CISA confirme l'exploitation active d'une faille zero-day dans SharePoint
L'Agence de cybersécurité et de sécurité des infrastructures a émis un avertissement urgent le 19 mars 2026, confirmant que des attaquants exploitent activement une vulnérabilité critique de Microsoft SharePoint qui a été corrigée lors de la publication de Patch Tuesday en janvier. L'agence a ajouté la faille à son catalogue des vulnérabilités exploitées connues (KEV), signalant que les acteurs de la menace sont passés des attaques de preuve de concept à des campagnes d'exploitation réelles ciblant les environnements d'entreprise.
La vulnérabilité, qui affecte plusieurs versions de SharePoint Server, permet aux attaquants distants d'exécuter du code arbitraire sur des systèmes vulnérables sans authentification. Microsoft avait initialement classé la faille comme critique avec un score CVSS de 9,8, indiquant une gravité maximale en raison de son vecteur d'attaque accessible par le réseau et du potentiel de compromission complète du système. Les chercheurs en sécurité qui ont découvert la vulnérabilité lors de tests de pénétration de routine l'ont signalée à Microsoft via des protocoles de divulgation coordonnée à la fin de 2025.
La décision de la CISA d'ajouter cette faille de SharePoint au catalogue KEV représente une escalade significative dans l'évaluation des menaces. L'agence n'inclut des vulnérabilités dans ce catalogue que lorsqu'elle dispose de preuves confirmées d'exploitation active par des acteurs de la menace dans des attaques réelles. Cette désignation déclenche des exigences de correction obligatoires pour les agences exécutives civiles fédérales, qui doivent désormais remédier à la vulnérabilité dans les 21 jours suivant l'ajout au catalogue. Le calendrier suggère que plusieurs tentatives d'exploitation ont été détectées dans les réseaux du secteur public et privé depuis la publication du correctif de janvier.
Selon l'avis de la CISA, la vulnérabilité provient d'une validation incorrecte des entrées dans le cadre d'application web de SharePoint, permettant aux attaquants d'injecter du code malveillant via des requêtes HTTP spécialement conçues. Le processus d'exploitation ne nécessite aucune interaction de l'utilisateur et peut être exécuté à distance via le réseau, ce qui le rend particulièrement attractif pour les cybercriminels et les acteurs étatiques cherchant à établir un accès persistant aux environnements d'entreprise. Les vecteurs d'attaque initiaux observés par les chercheurs en sécurité incluent des campagnes de balayage automatisées ciblant les installations de SharePoint exposées à Internet et des campagnes de spear-phishing ciblées conçues pour identifier les systèmes internes vulnérables.
Déploiements de SharePoint à risque dans les réseaux d'entreprise
La vulnérabilité impacte un large éventail de déploiements de Microsoft SharePoint Server, y compris SharePoint Server 2019, SharePoint Server 2016 et SharePoint Server Subscription Edition. Les organisations utilisant ces versions sans les mises à jour de sécurité de janvier 2026 restent vulnérables aux attaques d'exécution de code à distance. Le bulletin de sécurité de Microsoft indique que les installations de SharePoint sur site et les configurations hybrides de cloud sont affectées, bien que les clients de SharePoint Online utilisant le service entièrement géré de Microsoft soient protégés par des mises à jour automatiques.
Les environnements d'entreprise sont les plus à risque en raison de l'adoption généralisée de SharePoint comme plateforme de collaboration et système de gestion de documents. Les organisations des secteurs gouvernemental, de la santé, des services financiers et de la fabrication déploient couramment SharePoint pour le stockage de données sensibles et la gestion des flux de travail, rendant une exploitation réussie particulièrement dommageable. La nature accessible par le réseau de la vulnérabilité signifie que les portails SharePoint exposés à Internet sont particulièrement vulnérables aux campagnes d'attaque automatisées, tandis que les fermes SharePoint internes restent à risque face aux attaquants ayant déjà obtenu un accès au réseau par d'autres moyens.
Les agences fédérales représentent une cible prioritaire pour cette campagne d'exploitation, étant donné l'utilisation extensive de SharePoint dans les départements gouvernementaux pour la collaboration documentaire et le partage d'informations. La directive de correction obligatoire de la CISA affecte des centaines d'agences civiles fédérales qui dépendent de SharePoint pour des opérations critiques. Les organisations du secteur privé, bien que non soumises aux mêmes exigences réglementaires, font face à des risques similaires et devraient prioriser les efforts de correction pour prévenir les potentielles violations de données, le déploiement de ransomware ou l'établissement de menaces persistantes avancées.
Étapes immédiates de correction et de mitigation pour les administrateurs SharePoint
Microsoft a publié des mises à jour de sécurité complètes pour résoudre cette vulnérabilité dans le cadre du cycle Patch Tuesday de janvier 2026. Les administrateurs SharePoint doivent immédiatement appliquer la mise à jour de sécurité KB5002474 pour SharePoint Server 2019, KB5002475 pour SharePoint Server 2016 et KB5002476 pour SharePoint Server Subscription Edition. Les mises à jour sont disponibles via le Microsoft Update Catalog et Windows Server Update Services (WSUS) pour un déploiement automatisé dans les environnements d'entreprise. Les organisations devraient prioriser la correction des serveurs SharePoint exposés à Internet en premier, suivis des serveurs de ferme internes en fonction de la criticité et de la sensibilité des données.
Pour les organisations incapables d'appliquer immédiatement les correctifs, Microsoft recommande de mettre en œuvre des protections au niveau du réseau pour réduire l'exposition à la surface d'attaque. Les pare-feu d'applications web configurés avec des règles pour bloquer les requêtes HTTP suspectes peuvent fournir une mitigation temporaire, bien que cette approche ne doive pas remplacer une correction appropriée. Les stratégies de segmentation du réseau qui isolent les serveurs SharePoint de l'accès direct à Internet et mettent en œuvre des contrôles d'accès stricts peuvent limiter les vecteurs d'exploitation potentiels. De plus, les administrateurs devraient activer une journalisation complète sur les serveurs SharePoint et surveiller les tentatives d'authentification inhabituelles, l'exécution de processus inattendus et les modèles de trafic réseau anormaux qui pourraient indiquer des tentatives de compromission.
Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils détaillés pour les agences fédérales sur les exigences de conformité et les délais de remédiation recommandés. Les organisations du secteur privé devraient suivre des protocoles similaires, en effectuant des analyses de vulnérabilité immédiates pour identifier les installations de SharePoint affectées et en priorisant les correctifs en fonction de la criticité du système et du niveau d'exposition. Les équipes de sécurité devraient également examiner les journaux d'accès à SharePoint des 60 derniers jours pour identifier les indicateurs potentiels de compromission et mettre en œuvre une surveillance supplémentaire pour les activités post-exploitation telles que le mouvement latéral, l'escalade de privilèges et les tentatives d'exfiltration de données.
