Itdaily - La CISA met en garde contre des exploits SharePoint actifs et conseille de renforcer la sécurité

La CISA met en garde contre des exploits SharePoint actifs et conseille de renforcer la sécurité

La CISA met en garde contre des exploits SharePoint actifs et conseille de renforcer la sécurité

L’agence américaine de cybersécurité CISA signale l’exploitation active de plusieurs vulnérabilités dans SharePoint Server sur site.

Selon la CISA, des acteurs de cybermenaces exploitent des vulnérabilités dans toutes les versions prises en charge de SharePoint Server, notamment Subscription Edition, 2019 et 2016. Les failles de sécurité sont identifiées sous les références CVE-2026-32201, CVE-2026-45659 et CVE-2026-56164. Les attaquants utilisent ces vulnérabilités pour contourner l’authentification, effectuer une remote code execution, voler des clés de machine IIS et établir un accès persistant en installant des logiciels malveillants. Il est conseillé aux organisations de corriger immédiatement leurs systèmes et de prendre des mesures de sécurité supplémentaires pour empêcher tout accès non autorisé et tout logiciel malveillant.

Deux nouvelles CVE

En plus des vulnérabilités déjà exploitées, deux nouvelles CVE (CVE-2026-55040 et CVE-2026-58644) ont été récemment annoncées ; elles ne sont pas encore exploitées activement mais constituent, selon Microsoft, un risque important si elles ne sont pas corrigées à temps. Le conseil est d’installer toutes les mises à jour de sécurité dès que possible et de raccourcir le cycle de correction lorsque cela est possible.

Mesures de sécurité

La CISA conseille d’activer l’intégration de l’Antimalware Scan Interface (AMSI) pour chaque application web SharePoint. Les organisations doivent vérifier si cette intégration est correctement configurée, de préférence avec le mode « Full Mode » pour l’analyse du corps (bodyscanning). S’il existe des indices de compromission, la CISA recommande d’utiliser des détections spécifiques d’AMSI et de Microsoft Defender Antivirus et d’activer le plan de réponse aux incidents en cas de détections positives.

Des exemples de détections incluent des tentatives d’exécution de code à distance et des signaux d’activités post-exploitation où des informations sensibles d’IIS sont dérobées. Il est important de surveiller activement les webshells suspects et les comportements anormaux de SharePoint à l’aide de mécanismes de journalisation adaptés.