SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
Mis à jour :
Exploitation active de la faille RCE CVE-2026-45659 dans Microsoft SharePoint
La CISA a ajouté la vulnérabilité CVE-2026-45659 au catalogue des vulnérabilités connues exploitées (KEV) en raison d’attaques actives constatées sur le terrain.
Points clés :
- Nature de la faille : Exécution de code à distance (RCE) via la désérialisation de données non fiables.
- Impact : Tout utilisateur authentifié disposant de permissions de membre de site peut exécuter du code à distance sans privilèges d’administrateur.
- Contexte de menace : Des acteurs malveillants, dont le groupe Storm-2603, utilisent activement ces vecteurs pour infiltrer des serveurs SharePoint on-premises et déployer des ransomwares. Des scénarios d’attaques complexes impliquant plusieurs groupes de hackers opérant simultanément dans un même environnement ont été observés.
Vulnérabilité :
- CVE-2026-45659 (Score CVSS : 8.8) : Affecte SharePoint Server Subscription Edition, 2019 et Enterprise Server 2016.
Recommandations :
- Application des correctifs : Il est impératif d’installer les mises à jour de sécurité publiées par Microsoft en mai 2026.
- Urgence : Les agences fédérales américaines ont reçu pour instruction de corriger le système avant le 4 juillet 2026.
- Surveillance : Étant donné la tendance des attaquants à combiner plusieurs techniques (ex: détournement de drivers vulnérables, outils DFIR comme Velociraptor, tunnels Cloudflare), une surveillance accrue des accès distants et des activités administratives suspectes est recommandée.
