Plus de 1 300 serveurs Microsoft SharePoint restent vulnérables en ligne face à une faille de sécurité exploitée comme une zero-day, toujours active dans des attaques. Cette vulnérabilité, identifiée sous le code CVE-2026-32201, touche les versions SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition, qui est la dernière version sur site utilisant un modèle de mise à jour continue.
Microsoft a signalé que l’exploitation réussie de cette faille permet à des attaquants non autorisés d’effectuer des attaques de spoofing en tirant parti d’une faiblesse liée à la validation des entrées. Les attaques de faible complexité n’exigent pas d’interaction de l’utilisateur.
Selon l’entreprise, un attaquant exploitant cette vulnérabilité pourrait accéder à des informations sensibles, modifier les données divulguées, mais ne pourrait pas restreindre l’accès à la ressource.
Bien que Microsoft ait classé cette faille comme zero-day, elle n’a pas encore fourni d’informations sur les moyens concrets utilisés pour l’exploiter dans des attaques, ni établi de lien avec un acteur malveillant ou un groupe de hackers spécifique.
Ce mardi, le groupe de surveillance en cybersécurité Shadowserver a averti que plus de 1 300 serveurs SharePoint non mis à jour sont encore vulnérables. Moins de 200 systèmes ont reçu les correctifs nécessaires depuis la publication des mises à jour de sécurité pour CVE-2026-32201 la semaine dernière.
Le même jour, la CISA a intégré cette vulnérabilité dans son catalogue des vulnérabilités exploitées connues (KEV). L’agence de cybersécurité des États-Unis a également ordonné aux agences du Federal Civilian Executive Branch (FCEB), qui incluent des départements tels que le Trésor et la Sécurité intérieure, de mettre à jour leurs serveurs SharePoint dans un délai de deux semaines, au plus tard le 28 avril, conformément à la directive opérationnelle (BOD) 22-01.
Elle a précisé que ce type de vulnérabilité constitue un vecteur d’attaque fréquent pour les acteurs malveillants et présente des risques importants pour l’intégrité des systèmes fédéraux.
Les agences sont conseillées d’appliquer les mesures d’atténuation selon les instructions du fournisseur, de suivre les directives du BOD 22-01 pour les services cloud, ou de cesser l’utilisation de produits si les mesures d’atténuation sont indisponibles.
Il y a une semaine, la CISA avait également alerté sur une vulnérabilité d’escalade de privilèges concernant le Windows Task Host, exploitée dans la nature, incitant les agences fédérales à sécuriser rapidement leurs dispositifs pour éviter que des attaquants n’obtiennent des privilèges de SYSTEM.
Le 14 avril, Microsoft avait publié des mises à jour de sécurité pour traiter 167 vulnérabilités, dont deux failles zero-day, dans le cadre de son Patch Tuesday d’avril 2026.