Avis de sécurité : CVE202620963 - Exploitation active de la vulnérabilité de Microsoft SharePoint

CVE202620963 a été initialement publié en janvier 2026, mais il a récemment fait l'objet d'un regain d'attention en raison d'une exploitation active confirmée.

Vue d'ensemble

La CISA a ajouté cette vulnérabilité à sa liste KEV (Known Exploited Vulnerabilities) le 18 mars 2026, suite à des rapports d'attaques réelles. La faille est une vulnérabilité d'exécution de code à distance dans Microsoft SharePoint causée par une mauvaise gestion des données non fiables pendant la désérialisation. Une fois déclenchée, elle permet aux attaquants d'exécuter du code sur le serveur SharePoint, et les informations disponibles indiquent que l'authentification pourrait ne pas être nécessaire.

Étant donné que SharePoint stocke souvent des informations internes sensibles et sous-tend des flux de travail collaboratifs clés, une exploitation réussie peut entraîner des risques opérationnels et de sécurité des données importants.

Ce que permet la vulnérabilité

Si elle est exploitée, un attaquant peut

• Exécuter un code arbitraire sur le serveur SharePoint
• Prendre le contrôle total de l'hôte
• Se déplacer latéralement dans l'environnement
• Déployer des logiciels malveillants, des portes dérobées ou mettre en place une persistance
• Préparer potentiellement des opérations de vol de données ou de ransomware.

Il semble qu'il s'agisse d'une attaque à distance qui pourrait ne pas nécessiter d'informations d'identification, d'après les informations actuellement disponibles.

Versions affectées

Selon les informations publiées, les produits Microsoft SharePoint suivants sont concernés :

• SharePoint Server 2016
• SharePoint Server 2019
• SharePoint Subscription Edition

Activité actuelle de la menace

CVE202620963 est activement exploité. Bien que des groupes de menaces spécifiques n'aient pas été identifiés publiquement, les techniques observées correspondent à celles utilisées par les attaquants spécialisés dans l'obtention d'un accès initial en vue d'une intrusion ultérieure ou du déploiement d'un ransomware.

Mesures d'atténuation recommandées

1. Appliquer immédiatement les correctifs

Microsoft a publié des mises à jour de sécurité pour résoudre ce problème. L'étape la plus importante consiste à mettre à jour tous les serveurs SharePoint concernés avec la dernière version corrigée.

2. Limiter l'exposition du réseau

Veillez à ce que les serveurs SharePoint ne soient pas inutilement exposés :

• Restreindre l'accès à partir de réseaux non fiables
• Appliquer les contrôles appropriés du pare-feu et du reverseproxy.
• Supprimer toute exposition externe directe, sauf en cas d'absolue nécessité

3. Renforcer la surveillance et la journalisation

Accroître la surveillance des serveurs concernés pour détecter

• les modifications de fichiers inhabituelles ou non autorisées
• les processus suspects s'exécutant sous les comptes de service SharePoint
• les connexions réseau sortantes inattendues.

4. Examiner les autorisations et les contrôles d'accès

Vérifiez les rôles administratifs et les comptes de service pour vous assurer que des privilèges minimaux sont attribués.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avec nouspour savoir comment vous pouvez protéger votre organisation.