CISA Adds Exploited SharePoint RCE Zero-Day CVE-2026-58644 to KEV
Mis à jour :
Urgence cybersécurité : Vulnérabilité critique RCE dans Microsoft SharePoint
La CISA a intégré la vulnérabilité CVE-2026-58644 à son catalogue des vulnérabilités exploitées (KEV) en raison de son utilisation active comme “zero-day” avant la diffusion de correctifs. Cette faille permet à un attaquant authentifié (niveau Site Owner) d’exécuter du code arbitraire à distance sur les serveurs SharePoint vulnérables.
Points clés :
- Gravité : Score CVSS de 9.8 (critique).
- Nature : Désérialisation de données non fiables permettant une exécution de code à distance (RCE).
- Versions impactées : SharePoint Server Subscription Edition, 2019 et 2016.
- Contexte : Exploitée activement, souvent combinée à d’autres failles (ex: CVE-2026-32201, CVE-2026-45659, CVE-2026-56164) pour le vol de clés machine IIS et l’établissement de persistance.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs du Patch Tuesday de juillet 2026.
- Sécurisation technique : Activer l’intégration de l’interface d’analyse anti-malware (AMSI) pour chaque application web.
- Nettoyage et rotation : Rechercher des artéfacts d’intrusion avant de procéder à une rotation des clés machine IIS.
- Durcissement réseau :
- Ne pas exposer SharePoint directement sur Internet.
- Bloquer l’accès externe à l’administration centrale.
- Restreindre les communications entre les serveurs de la ferme et les bases de données aux systèmes strictement nécessaires.
- Surveillance : Mettre en place des mécanismes de journalisation spécifiques pour détecter les tentatives d’exploitation.
