CISA sonne l'alarme : trois failles SharePoint activement exploitées

Cybersécurité il y a 12 h0Ajouter aux favoris

CISA sonne l'alarme : trois failles SharePoint activement exploitées
Illustration : Momiji Shirogane

La CISA ajoute trois vulnérabilités SharePoint à son catalogue KEV - exploitation confirmée dans la nature. Deux autres failles critiques restent sur la table. Ce qu'il faut patcher, et vite.

Faits

L'agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a publié un bulletin d'alerte concernant trois vulnérabilités SharePoint activement exploitées dans la nature. Elles rejoignent le catalogue KEV (Known Exploited Vulnerabilities), ce qui déclenche pour toutes les agences fédérales américaines l'obligation de patcher sous 21 jours (directive BOD 22-01).

Dans le même bulletin, The Register note que deux failles critiques supplémentaires, non encore listées KEV, pourraient élargir la surface d'attaque si elles étaient à leur tour exploitées.

Qui est impacté

  • SharePoint Server on-premises : toutes les versions supportées (Subscription Edition, 2019, 2016). C'est là que se concentre l'exploitation active.
  • SharePoint Online : Microsoft opère les correctifs côté cloud, aucune action utilisateur nécessaire sur ce périmètre.
  • Environnements hybrides : particulièrement exposés - un point d'entrée on-prem compromis peut faire pivoter vers les identités hybrides et in fine vers Entra ID / Microsoft 365.

Les administrations, universités, cabinets d'avocats et industriels restent les principales cibles historiques de SharePoint on-prem.

Analyse

SharePoint est une cible favorite depuis 2019 (CVE-2019-0604, encore exploitée aujourd'hui) et surtout depuis la vague ToolShell de l'été 2025. Le pattern est stable :

  • Serveurs SharePoint souvent exposés en direct sur Internet (mauvaise idée depuis dix ans, toujours pratiqué).
  • Cycle de patch lourd (recette applicative, downtime, dépendances aux formulaires custom InfoPath / SPFx).
  • Comptes de service à privilèges élevés dans l'AD, ce qui fait de SharePoint un excellent pivot latéral.

Le trio actuel s'inscrit dans cette continuité. Ce n'est pas un bug spectaculaire mais un rappel opérationnel : le maintien en conditions de sécurité d'un SharePoint on-prem est un dossier plein-temps, pas une tâche annexe.

À faire maintenant

  • Appliquer immédiatement les correctifs Microsoft pour les CVE listées par la CISA (voir bulletin CISA et Patch Tuesday de juillet).
  • Vérifier l'exposition Internet : un SharePoint on-prem exposé au public sans WAF ni MFA amont est un pari perdant. Rentrer derrière un reverse-proxy ou un ZTNA.
  • Audit des logs IIS/ULS sur les 30 derniers jours à la recherche des indicateurs de compromission (IoC) publiés par la CISA.
  • Rotation des secrets (machineKey, comptes de service farm-account) si compromission suspectée.
  • Long terme : documenter une trajectoire de sortie vers SharePoint Online quand c'est possible, ou vers une alternative - la charge de maintenance sécu du produit on-prem ne va pas diminuer.

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Cet article vous a-t-il été utile ?

15 personnes ont aimé cet article

J'aime
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Partager :
Commentaires (0)

Connectez-vous pour rejoindre la discussion.

Soyez le premier à commenter.

LIVERadio DBN Link
Clique pour écouter, le même son pour tout le monde
0··
// Programme
// toutes les stations
// partager un titre →
Rubriques
Explorer
Informations