En bref

  • CVE-2026-20963 : Remote Code Execution sans authentification dans Microsoft SharePoint Server (2016, 2019, Subscription)
  • Patch disponible depuis le 13 janvier 2026 — initialement classé "peu probable d'être exploité" par Microsoft
  • Ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 18 mars 2026

CVE-2026-20963 est une vulnérabilité d'exécution de code à distance sans authentification affectant plusieurs versions de Microsoft SharePoint Server. Corrigée lors du Patch Tuesday de janvier 2026, elle avait été classée par Microsoft comme "peu probable d'être exploitée" — une évaluation rapidement contredite par les attaquants. Deux mois après la publication du patch, la faille est activement exploitée dans des campagnes réelles documentées. Elle repose sur une désérialisation de données non fiables dans le moteur de traitement des requêtes SharePoint : un attaquant non authentifié envoie une requête HTTP spécialement forgée et obtient une exécution de code arbitraire sur le serveur, sans aucune interaction des utilisateurs légitimes. La CISA a ajouté CVE-2026-20963 à son catalogue Known Exploited Vulnerabilities le 18 mars 2026, en imposant une deadline de remédiation au 21 mars pour toutes les agences fédérales américaines. Les serveurs SharePoint sont des cibles particulièrement attractives : ils hébergent des données stratégiques et servent souvent de passerelle vers l'ensemble du réseau d'entreprise, y compris les systèmes Active Directory, les partages de fichiers sensibles et les pipelines d'automatisation métier. Toute organisation maintenant un serveur SharePoint on-premise exposé à Internet sans patch appliqué doit traiter cette situation comme une urgence de niveau critique.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Les faits

Microsoft a publié le correctif de CVE-2026-20963 lors du Patch Tuesday de janvier 2026, accompagné d'une évaluation de risque "exploitation improbable". Cette classification a conduit de nombreuses équipes IT à déprioritiser ce patch face au volume mensuel de correctifs Microsoft — un comportement rationnel mais dont les conséquences sont désormais visibles. Dès mars 2026, des exploits fonctionnels sont observés en conditions réelles. Le 18 mars, la CISA a mis à jour son catalogue KEV pour y inclure CVE-2026-20963. Les versions affectées sont SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) n'est pas concerné, Microsoft gérant directement les mises à jour de ce service. Les détails techniques complets sont disponibles sur le Microsoft Security Response Center.

Impact et exposition

Les serveurs SharePoint on-premise sont omniprésents dans les grandes entreprises, administrations et collectivités. Une compromission via CVE-2026-20963 donne à l'attaquant un accès aux documents stratégiques, aux sites d'équipe, aux workflows métier et souvent aux identités Active Directory via l'intégration SharePoint. Le risque est amplifié par l'exposition fréquente des portails SharePoint sur Internet pour les accès distants. Dans le contexte d'une architecture Zero Trust, les serveurs SharePoint exposés sans couche de protection supplémentaire représentent un risque inacceptable. Un programme structuré de triage des vulnérabilités par criticité opérationnelle aurait dû remonter ce patch en priorité malgré la classification initiale de Microsoft. Les équipes maintenant un MFA résistant au phishing réduisent le rayon d'impact d'une compromission SharePoint mais ne se substituent pas au patch. Les signaux d'attaque observés sont similaires aux compromissions sans malware signalées par le CERT-FR.

Recommandations

  • Appliquer immédiatement le patch Microsoft SharePoint de janvier 2026 — en priorité absolue sur les serveurs exposés à Internet
  • Vérifier les journaux d'accès SharePoint pour toute activité suspecte depuis le 13 janvier 2026
  • Restreindre l'exposition Internet des portails SharePoint via un reverse proxy authentifié ou un WAF
  • Activer les alertes SIEM sur les patterns de requêtes SharePoint anormaux
  • Intégrer les IOC disponibles via CISA KEV dans les outils de détection

Alerte — Exploitation active confirmée, deadline CISA dépassée

La CISA imposait une remédiation au 21 mars 2026 pour les agences fédérales US. Si le patch SharePoint de janvier 2026 n'est pas encore appliqué dans votre organisation, votre exposition est réelle et confirmée. La classification initiale "peu probable" de Microsoft ne reflète plus la réalité du terrain.

SharePoint Online (Microsoft 365) est-il affecté par CVE-2026-20963 ?

Non. CVE-2026-20963 n'affecte que les déploiements on-premise de SharePoint Server (versions 2016, 2019 et Subscription Edition). SharePoint Online, inclus dans Microsoft 365, est géré directement par Microsoft qui y applique les correctifs de façon transparente. Si votre organisation est entièrement sur Microsoft 365 sans serveur SharePoint on-premise, vous n'êtes pas exposé à cette vulnérabilité spécifique. En revanche, le Microsoft Security Response Center publie régulièrement des advisories pour les composants SharePoint Online — restez vigilants sur ces bulletins et sur les mises à jour de votre configuration Entra ID.

Points clés à retenir

  • CVE-2026-20963 : RCE sans authentification dans SharePoint on-premise — patch disponible depuis janvier 2026
  • La classification initiale "peu probable" de Microsoft a provoqué un retard de patch chez de nombreuses organisations
  • Ajoutée au catalogue KEV CISA le 18 mars 2026 — exploitation active en conditions réelles confirmée
  • SharePoint Online (Microsoft 365) n'est pas concerné — uniquement les installations on-premise

Comment savoir si mon système est vulnérable à CVE-2026-20963 ?

Pour déterminer votre exposition, inventoriez toutes les instances de SharePoint Server dans votre environnement, y compris les versions utilisées. Comparez-les aux versions affectées dans l'avis officiel du fournisseur. Les outils de vulnerability scanning comme Tenable Nessus, Qualys ou OpenVAS proposent généralement des plugins de détection dans les 24-48h suivant la publication d'un CVE critique. Un scan ciblé sur le port et le service concerné permet de confirmer l'exposition.

Que faire si le patch ne peut pas être appliqué immédiatement ?

En cas d'impossibilité de patcher rapidement, plusieurs mesures de mitigation permettent de réduire le risque : isoler les systèmes vulnérables derrière un pare-feu applicatif (WAF), restreindre les accès réseau au strict nécessaire, désactiver les fonctionnalités exposées si possible, et renforcer la surveillance des logs pour détecter toute tentative d'exploitation. Un plan de patch d'urgence doit être déclenché dans les 72h suivant la confirmation de l'exploitation active.

Est-ce que CVE-2026-20963 est activement exploitée dans des attaques réelles ?

Oui — les preuves d'exploitation active ont été confirmées. Des groupes de ransomware et d'APT ont intégré ce vecteur dans leurs chaînes d'attaque. L'exploitation active signifie que le risque n'est plus théorique : toute organisation exposée doit traiter ce correctif comme une priorité absolue indépendamment de ses cycles de maintenance habituels. Consulter le catalogue CISA KEV pour suivre l'état d'exploitation confirmée.

Article suivant recommandé

CVE-2026-33017 Langflow RCE : Exploité en Moins de 20h →

CVE-2026-33017, CVSS 9.3 dans la plateforme d'orchestration LLM Langflow, exploitée en moins de 20 heures après divulgat

Sources et références

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.