La CISA recommande un renforcement immédiat de SharePoint à mesure que les exploits se multiplient

Lucas Morel

Trois vulnérabilités SharePoint activement exploitées ont atterri dans le catalogue KEV, les experts en sécurité avertissant que les correctifs à eux seuls n’empêcheront pas l’interruption des activités.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a exhorté les organisations à sécuriser immédiatement les déploiements de Microsoft SharePoint après avoir averti que trois vulnérabilités affectant la plateforme de collaboration sur site étaient activement exploitées.

Un récent avis de l’organisme fédéral de surveillance de la cybersécurité a demandé aux administrateurs de corriger les serveurs vulnérables, de revoir les conseils d’atténuation de Microsoft et de supposer que les instances SharePoint accessibles sur Internet restent des cibles attrayantes pour les attaquants cherchant à s’implanter dans les environnements d’entreprise.

Bien que l’application des correctifs reste la priorité immédiate, les experts en sécurité préviennent que les organisations devraient considérer l’avis comme plus qu’un autre exercice de Patch Tuesday.

« C’est ce qui différencie un incident informatique d’une crise commerciale », a déclaré Chris Boehm, directeur technique sur le terrain chez Zero Networks. « Une boîte SharePoint compromise est un ticket. Cette même boîte, avec un chemin clair vers vos contrôleurs de domaine, vos sauvegardes et vos partages de fichiers, est la façon dont vous vous retrouvez avec une infrastructure chiffrée et un événement de divulgation. La segmentation empêche le premier de devenir le second. »

L’avis de CISA met en évidence CVE-2026-332201, CVE-2026-45659 et le nouveau CVE-2026-56164, qui ont tous été confirmés comme étant exploités à l’état sauvage et ajoutés au catalogue de vulnérabilités exploitées connues (KEV) de l’agence.

L’exploitation raconte une autre histoire de gravité

Le dernier ajout au catalogue KEV de CISA est CVE-2026-56164, une vulnérabilité d’élévation de privilèges affectant Microsoft SharePoint Server. Bien qu’elle lui ait attribué un score CVSS de 5,3, la faille peut être exploitée à distance sans authentification, ce qui la rend nettement plus dangereuse en pratique que ne le suggère son seul indice de gravité.

Ces deux failles sont activement exploitées dans la nature.

CISA a dénoncé les organisations qui ne parviennent pas à rattraper les mises à jour de SharePoint, ajoutant que les attaquants ciblent de plus en plus les N-days plutôt que de s’appuyer exclusivement sur les zero-days récemment découverts.

En ce qui concerne la vitesse d’application des correctifs, Boehm a noté que la résilience devient un défi architectural autant qu’opérationnel.

« Arrêtez de mesurer cela en termes de vitesse de patch », a-t-il déclaré. « C’est une course que l’on finit par perdre. Certains d’entre eux sont devenus Zero-Day sans solution dès le premier jour, et la fenêtre entre la divulgation et l’exploitation ne cesse de se réduire. La question au niveau du conseil d’administration n’est donc pas de savoir si un serveur est compromis. Supposons que ce soit le cas. Il s’agit de savoir quelle part d’activité un système détenu par un seul propriétaire peut détruire avec cela. »

Boehm a fait valoir que la limitation de l’accessibilité du réseau via la segmentation devrait accompagner la gestion des correctifs et la chasse aux menaces en tant que stratégie défensive de base. L’accessibilité, a-t-il déclaré, est un contrôle qui appartient aux organisations, et non le calendrier des correctifs. La CISA a donné trois jours aux agences du pouvoir exécutif civil fédéral (FCEB) pour remédier au CVE-2026-56164 en vertu de la directive opérationnelle contraignante (BOD) 22-01.

VulnérabilitésSécurité