En bref

  • Microsoft confirme l'exploitation active de CVE-2026-32201 sur SharePoint Server (CVSS 6.5).
  • SharePoint 2016, 2019 et Subscription Edition sont vulnerables ; aucune interaction utilisateur requise.
  • CISA exige le patch avant le 28 avril 2026 pour les agences federales americaines.

Les faits

Lors du Patch Tuesday d'avril 2026, Microsoft a publie un correctif d'urgence pour CVE-2026-32201, une vulnerabilite d'usurpation de contenu (spoofing) affectant Microsoft SharePoint Server. La faille, decouverte en exploitation active, decoule d'une validation insuffisante des entrees dans le moteur de rendu SharePoint. Elle permet a un attaquant non authentifie d'injecter du contenu spoofe via le reseau, avec une faible complexite d'attaque et sans interaction utilisateur. Microsoft a confirme l'exploitation in-the-wild dans son advisory du 14 avril 2026.

L'exploit observe en environnement de production presente des similarites avec la chaine d'attaque baptisee BlueHammer, dont une preuve de concept a ete publiee sur GitHub le 3 avril 2026 par un chercheur sous l'alias Chaotic Eclipse. Selon Tenable et CrowdStrike, plusieurs campagnes ciblent deja des intranets d'entreprise via cette faille, notamment dans les secteurs gouvernemental et financier. La CISA a inscrit CVE-2026-32201 a son catalogue Known Exploited Vulnerabilities et impose une remediation avant le 28 avril 2026 pour toutes les agences federales civiles.

Impact et exposition

Sont concernes les serveurs SharePoint 2016, SharePoint 2019 et SharePoint Server Subscription Edition exposes a un reseau accessible (intranet ou Internet). Selon les donnees de Shodan, plus de 21 000 instances SharePoint sont visibles publiquement, dont une majorite n'avait pas applique le patch dans les 48 heures suivant la divulgation. L'exploitation reussie permet la divulgation et la modification de contenus sensibles : documents, listes, pages d'equipe. Combinee a d'autres faiblesses SharePoint, elle sert de vecteur initial pour des compromissions plus larges (vol de jetons OAuth, exfiltration de bibliotheques entieres).

Recommandations

  • Appliquer immediatement la mise a jour de securite d'avril 2026 pour SharePoint Server (KB associes selon la version).
  • Verifier dans les logs IIS toute requete anormale vers les endpoints SharePoint depuis le 3 avril 2026, notamment des POST avec du contenu HTML inattendu.
  • Restreindre l'exposition Internet des fermes SharePoint et placer un WAF avec regles SharePoint a jour devant les frontends.
  • Auditer les permissions OAuth et les jetons d'acces emis recemment ; revoquer ceux dont l'origine est suspecte.
  • Activer les detections EDR sur l'execution de scripts inattendus par w3wp.exe et OWSTIMER.EXE.

Alerte critique

CVE-2026-32201 est exploitee depuis au moins le 3 avril 2026 et les chaines d'attaque observees combinent cette faille avec des elevations de privileges Windows recentes. Pour les fermes SharePoint exposees, considerez tout serveur non patche comme potentiellement compromis et lancez une revue forensique des 30 derniers jours.

Le score CVSS de 6.5 justifie-t-il une remediation en urgence ?

Oui. Le score CVSS reflete l'impact technique brut, pas le contexte d'exploitation. Ici, l'inscription au KEV de la CISA, la disponibilite publique d'un PoC et l'exploitation confirmee par Microsoft elevent le risque reel bien au-dessus du score nominal. Une faille CVSS 6.5 activement exploitee dans une infrastructure de collaboration centrale justifie un traitement equivalent a une CVE 9.x non exploitee.

SharePoint Online (Microsoft 365) est-il concerne ?

Non, la vulnerabilite affecte uniquement les versions on-premise de SharePoint Server. Les tenants SharePoint Online beneficient d'un correctif applique cote service par Microsoft. Les organisations en architecture hybride doivent toutefois patcher leurs serveurs locaux et auditer les flux entre on-prem et cloud.

Comment detecter une exploitation deja survenue ?

Recherchez dans les logs IIS et SharePoint des requetes POST inhabituelles vers les pages /_layouts/, des jetons OAuth emis depuis des IP non-reconnues, et des modifications de contenu non tracees dans l'historique de versions SharePoint. L'EDR doit alerter sur toute creation de processus enfant par w3wp.exe correspondant a powershell.exe, cmd.exe ou wscript.exe.

Votre infrastructure est-elle exposee ?

Ayi NEDJIMI realise des audits de securite cibles pour identifier et corriger vos vulnerabilites SharePoint avant qu'elles ne soient exploitees.

Demander un audit