📰 Source : BleepingComputer, article de Sergiu Gatlan, publié le 22 avril 2026.

Contexte

Microsoft a corrigé la vulnérabilité CVE-2026-32201 dans le cadre du Patch Tuesday d’avril 2026 (14 avril 2026), qui adressait au total 167 vulnérabilités dont deux zero-days. Cette faille affecte les versions on-premises de SharePoint : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition.

Nature de la vulnérabilité

  • Type : Spoofing réseau par validation d’entrée incorrecte (improper input validation)
  • Complexité : Faible, sans interaction utilisateur requise, sans privilèges nécessaires
  • Impact :
    • Confidentialité : lecture de certaines informations sensibles
    • Intégrité : modification des informations divulguées
    • Disponibilité : non affectée
  • Statut : Exploitée en zero-day avant la publication du patch ; exploitation active toujours en cours

Exposition et état du patching

Selon Shadowserver, au moment de la publication de l’article :

  • Plus de 1 300 serveurs SharePoint exposés sur Internet restent non patchés
  • Moins de 200 systèmes ont été mis à jour depuis la publication du correctif la semaine précédente

Réponse institutionnelle

  • CISA a ajouté CVE-2026-32201 à son Known Exploited Vulnerabilities (KEV) Catalog le jour même de la publication du patch
  • Les agences FCEB (Federal Civilian Executive Branch) ont reçu l’ordre de patcher leurs serveurs SharePoint avant le 28 avril 2026, conformément à la Binding Operational Directive (BOD) 22-01
  • CISA qualifie ce type de vulnérabilité de vecteur d’attaque fréquent posant des risques significatifs pour l’entreprise fédérale

Contexte additionnel

Une semaine avant cet article, CISA avait également signalé une vulnérabilité d’élévation de privilèges dans Windows Task Host (permettant d’obtenir des privilèges SYSTEM) comme exploitée dans la nature.

🔎 Type d’article : Alerte de sécurité combinant données d’exposition (Shadowserver), réponse institutionnelle (CISA/BOD 22-01) et contexte de patch Tuesday. But principal : informer sur l’état de patching critique et l’exploitation active en cours.

🧠 TTPs et IOCs détectés

TTP

  • T1557 — Adversary-in-the-Middle (Collection)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC

  • CVEs : CVE-2026-32201NVD · CIRCL

🟡 Indice de vérification factuelle : 59/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3366 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/over-1-300-microsoft-sharepoint-servers-vulnerable-to-ongoing-attacks/