Une vulnérabilité dans Microsoft SharePoint Server est activement exploitée. Un correctif est disponible depuis janvier.
L’agence américaine de cybersécurité CISA a classé une vulnérabilité de Microsoft SharePoint comme « activement exploitée ». La vulnérabilité, répertoriée sous l’identifiant CVE-2026-20963, affecte les configurations SharePoint Server hébergées localement. Elle concerne les versions Enterprise Server 2016, 2019 et la Subscription Edition, ainsi que des versions plus anciennes qui ne sont plus prises en charge. Il n’est pas certain que des attaques aient également lieu en Europe.
La vulnérabilité provient dune erreur de désérialisation qui peut donner à un attaquant des privilèges élevés pour exécuter du code malveillant. Microsoft a déployé un correctif en janvier pour colmater la brèche, mais pour les environnements SharePoint hébergés localement, il incombe à ladministrateur de le déployer. Malheureusement, dans la pratique, cela ne semble toujours pas être fait à temps.
Microsoft ne communique pas encore sur un abus actif, mais la CISA américaine a toutefois inscrit la vulnérabilité dans son catalogue. L’organisation gouvernementale demande d’installer les correctifs disponibles dès que possible. « Ce type de vulnérabilité constitue un vecteur d’attaque courant pour les cyberacteurs malveillants et entraîne des risques considérables », selon la CISA.
Tradition annuelle
Lorsque les mots «SharePoint» et «vulnérabilité» figurent dans la même phrase, toutes les alarmes se déclenchent. Les environnements SharePoint locaux sont régulièrement la cible de pirates. Les acteurs malveillants partent du principe que les entreprises qui gèrent elles-mêmes leur environnement sont en retard dans linstallation des mises à jour. Cest encore souvent le cas dans la pratique, et cest notamment pour ces raisons que Microsoft tente damener un maximum dentreprises vers la version cloud.
L’été dernier, un zero-day dans SharePoint a tenu les organisations du monde entier en haleine. Des serveurs vulnérables ont été pris pour cible pendant des semaines. Microsoft avait alors également déployé rapidement un correctif, mais celui-ci s’était initialement révélé insuffisant. L’étendue de cette vulnérabilité et de son exploitation devrait se préciser dans les jours et semaines à venir.