Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans Sharepoint

Score CVSS :
9.8
Date de publication :
16/7/2026
Date de dernière mise à jour :
16/7/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5561.1001

• Microsoft SharePoint Server 2019 versions antérieures à 16.0.10417.20175

• Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.19725.20434

Prérequis

• Accès réseau à l'instance SharePoint Server

Risques

• Accès au réseau interne de l'entreprise

• Exfiltration de données sensibles hébergées dans SharePoint

• Compromission des identités

• Déploiement de webshells et de malware sur les serveurs SharePoint

• Compromission complète des collections de sites SharePoint et de la configuration de ferme

Résumé

Une vulnérabilité critique de type "Contournement d'authentification / Élévation de privilèges" affectant les solutions Microsoft SharePoint Server a récemment été publiée par Microsoft le 14 juillet 2026.

La solution SharePoint Server permet d'héberger des portails collaboratifs, de gérer des documents et de supporter des workflows métier.

CVE-2026-56164 : Une vulnérabilité de type absence d'authentification pour une fonction critique dans SharePoint Server pourrait permettre à un attaquant distant non authentifié d'élever ses privilèges sur le réseau. L'attaquant n'a besoin ni d'identifiants valides ni d'interaction utilisateur pour exploiter cette vulnérabilité. Microsoft n'a pas communiqué publiquement les détails techniques précis du mécanisme d'exploitation. Une fois la vulnérabilité exploitée, l'attaquant obtient un accès avec des privilèges élevés sur l'instance SharePoint concernée. Il pourra donc interagir avec la collection de sites et la configuration de la ferme.

L'exploitation de cette CVE pourrait permettre à l'attaquant de modifier des permissions administratives, de voler les clés machine IIS pour établir une persistance, de déployer des malwares sur les serveurs compromis, et d'utiliser l'accès obtenu comme point d'entrée vers le reste du réseau interne de l'entreprise.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute instance SharePoint Server exposée sur Internet.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez :

• Auditer les logs IIS et applicatifs à la recherche de requêtes HTTP POST non authentifiées vers des endpoints inhabituels de l'application SharePoint.

• Rechercher des changements de privilèges inattendus sur les comptes de service et de ferme SharePoint.

• Rechercher la présence de web shells, de processus suspects ou de fichiers nouvellement créés dans les répertoires accessibles depuis le web de SharePoint.

• Vérifier l'intégrité des clés machine IIS (Machine Keys), régulièrement ciblées lors de ce type de compromission SharePoint, et les faire pivoter après investigation.

Remédiation :

Mettre à jour SharePoint Server vers les versions corrigées publiées par Microsoft :

• SharePoint Server Subscription Edition versions 16.0.19725.20434 et supérieures

• SharePoint Server 2019 versions 16.0.10417.20175 et supérieures

• SharePoint Enterprise Server 2016 versions 16.0.5561.1001 et supérieures

Mitigation :

• Activer l'intégration Antimalware Scan Interface (AMSI) sur les applications web SharePoint et configurer le mode de scan du corps de requête (Request Body Scan) sur "Full".

• Limiter au strict nécessaire l'exposition directe sur internet des serveurs SharePoint.

• Mettre en place une journalisation adaptée pour détecter toute activité anormale sur les instances SharePoint.

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.