Cybersécurité
CISA ajoute une vulnérabilité de Microsoft SharePoint Server à sa liste exploitée alors que des attaques parallèles de ransomware émergent
La CISA signale CVE-2026-45659 comme étant activement exploitée, exhortant les agences fédérales à appliquer le correctif d'ici le 4 juillet 2026. Microsoft détaille l'activité parallèle de Storm-2603 et d'un acteur inconnu utilisant des vulnérabilités SharePoint et des outils de tunneling.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté mercredi une faille de haute sévérité dans Microsoft SharePoint Server à son catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d'une exploitation active dans la nature.
La vulnérabilité, suivie sous le nom CVE-2026-45659 et portant un score CVSS de 8,8, est un bogue d'exécution de code à distance ancré dans la désérialisation de données non fiables. Microsoft a corrigé le problème en mai 2026 dans SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Enterprise Server 2016.
La société a noté que tout attaquant authentifié, pas seulement ceux disposant de privilèges d'administrateur ou élevés, pourrait déclencher l'exploitation. Dans une attaque basée sur le réseau, un utilisateur authentifié avec au moins les autorisations de membre du site (PR:L) pourrait l'exploiter pour exécuter du code à distance sur le serveur SharePoint.
"Microsoft SharePoint Server contient une vulnérabilité de désérialisation de données non fiables qui permet à un attaquant autorisé d'exécuter du code sur un réseau," a déclaré la CISA.
Selon l'avis de Microsoft, la faille porte une évaluation "Exploitation moins probable". On ne sait toujours pas comment les attaquants l'exploitent, qui est derrière l'activité ou quel est leur objectif final.
Compte tenu de l'exploitation active, les agences de la branche exécutive civile fédérale (FCEB) ont jusqu'au 4 juillet 2026 pour appliquer les correctifs.
Microsoft découvre une activité de menace parallèle provenant de deux clusters
À la fin du mois dernier, Microsoft a révélé qu'une enquête de routine sur un ransomware avait révélé quelque chose d'inhabituel : deux attaquants non liés opérant simultanément dans le même réseau, chacun utilisant des techniques délibérées pour sécuriser un accès persistant et compliquer la réponse aux incidents.
Un ensemble d'attaques a été attribué à Storm-2603, un acteur de menace connu pour déployer le ransomware Warlock, souvent en exploitant des vulnérabilités connues dans les serveurs SharePoint sur site, une tactique utilisée depuis mi-2025.
"Dans ce cas, l'accès initial a probablement été tenté via une vulnérabilité distincte, avec des demandes de fichiers comme win.ini et web.config, indiquant un sondage pour une inclusion de fichier locale," a déclaré Microsoft. Les preuves pointent vers CVE-2025-11371 (score CVSS : 9,1), une faille critique dans Gladinet Triofox.
Une fois à l'intérieur, l'acteur de menace a déployé des outils comme Velociraptor pour mélanger l'activité malveillante avec un comportement administratif de confiance, et a mis en place plusieurs canaux d'accès à distance via le tunneling Cloudflare, Zoho Assist et des connexions Secure Shell (SSH) configurées via Visual Studio Code.
L'attaque a également escaladé les privilèges en créant de nouveaux comptes d'administrateur locaux et de domaine, tandis qu'un pilote vulnérable ("NSecKrnl.sys") a servi de conduit pour altérer les protections de sécurité des points de terminaison et réduire la visibilité.
En même temps, Microsoft a déclaré avoir trouvé des signes d'un deuxième acteur de menace non lié coexistant dans le même environnement, utilisant le détournement de DLL et des portes dérobées personnalisées, rendant l'attribution beaucoup plus difficile.
Des investigations plus poussées ont révélé que les attaquants s'étaient déplacés latéralement du premier réseau vers une deuxième organisation, confirmant que la deuxième victime avait également été touchée par la même activité de ransomware attribuée à Storm-2603.
"Ensemble, ces flux d'activités qui se chevauchent ont permis un accès soutenu tout en masquant l'ampleur complète de l'intrusion," a déclaré l'équipe de réponse aux incidents de Microsoft. "Le mélange de tactiques de ransomware connues et de techniques cachées a permis aux acteurs de la menace d'établir un accès profond et durable."
"Ce qui peut sembler être un incident de ransomware unique peut rapidement se transformer en quelque chose de plus complexe, couvrant plusieurs organisations, mélangeant les tactiques et impliquant même plusieurs acteurs de menace opérant en parallèle. Pour les équipes de sécurité, l'implication est claire : les signaux isolés racontent rarement toute l'histoire."