CISA warns admins to patch actively exploited SharePoint flaws

1 minute de lecture

Mis à jour :

Alerte de sécurité : Vulnérabilités critiques exploitées dans SharePoint Server

La CISA a émis une alerte concernant l’exploitation active de serveurs Microsoft SharePoint locaux exposés sur Internet. Ces attaques permettent de contourner l’authentification, d’exécuter du code à distance (RCE), de voler des clés de chiffrement IIS et d’établir une persistance pour déployer des logiciels malveillants. Environ 10 000 instances SharePoint restent exposées, dont plusieurs centaines n’ont pas encore reçu les correctifs nécessaires.

Points clés :

  • Vulnérabilités exploitées : CVE-2026-32201, CVE-2026-45659, CVE-2026-56164.
  • Vulnérabilités à haut risque (non encore exploitées activement) : CVE-2026-55040 et CVE-2026-58644.
  • Cible : Toutes les versions supportées de SharePoint Server, y compris la « Subscription Edition ».
  • Directive opérationnelle : Les agences fédérales américaines ont jusqu’au 17 juillet pour appliquer les correctifs ou déconnecter les serveurs vulnérables.

Recommandations :

  • Correctifs : Appliquer immédiatement les dernières mises à jour de sécurité fournies par Microsoft.
  • Durcissement :
    • Restreindre l’accès direct aux serveurs SharePoint depuis Internet.
    • Bloquer l’accès externe à la console « Central Administration ».
    • Placer les serveurs derrière un proxy inverse de couche 7 si l’exposition est indispensable.
  • Détection et remédiation :
    • Activer l’intégration AMSI (Antimalware Scan Interface) pour les applications web SharePoint.
    • Utiliser Microsoft Defender Antivirus pour identifier les compromissions.
    • Rechercher des artefacts d’intrusion et procéder à la rotation des clés machine IIS après toute intervention.
    • Mettre en place une journalisation spécifique pour surveiller les activités anormales.

Source