SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation

1 minute de lecture

Mis à jour :

Exploitation active de la faille RCE CVE-2026-45659 dans Microsoft SharePoint

La CISA a ajouté la vulnérabilité CVE-2026-45659 au catalogue des vulnérabilités connues exploitées (KEV) en raison d’attaques actives constatées sur le terrain.

Points clés :

  • Nature de la faille : Exécution de code à distance (RCE) via la désérialisation de données non fiables.
  • Impact : Tout utilisateur authentifié disposant de permissions de membre de site peut exécuter du code à distance sans privilèges d’administrateur.
  • Contexte de menace : Des acteurs malveillants, dont le groupe Storm-2603, utilisent activement ces vecteurs pour infiltrer des serveurs SharePoint on-premises et déployer des ransomwares. Des scénarios d’attaques complexes impliquant plusieurs groupes de hackers opérant simultanément dans un même environnement ont été observés.

Vulnérabilité :

  • CVE-2026-45659 (Score CVSS : 8.8) : Affecte SharePoint Server Subscription Edition, 2019 et Enterprise Server 2016.

Recommandations :

  • Application des correctifs : Il est impératif d’installer les mises à jour de sécurité publiées par Microsoft en mai 2026.
  • Urgence : Les agences fédérales américaines ont reçu pour instruction de corriger le système avant le 4 juillet 2026.
  • Surveillance : Étant donné la tendance des attaquants à combiner plusieurs techniques (ex: détournement de drivers vulnérables, outils DFIR comme Velociraptor, tunnels Cloudflare), une surveillance accrue des accès distants et des activités administratives suspectes est recommandée.

Source