Numéro : AL26-017
Date : 15 juillet 2026
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels des TI et aux gestionnaires.
Objet
Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d'information électroniques et à fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.
Détails
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est au courant des vulnérabilités critiques touchant Microsoft SharePoint Server. En réponse au bulletin de sécurité de Microsoft communiqué le 14 juillet 2026Note de bas de page 1, le Centre pour la cybersécurité a publié le bulletin de sécurité AV26-698Note de bas de page 2 le 14 juillet 2026.
Publiée sous le numéro CVE-2026-55164Note de bas de page 3, cette vulnérabilité d'authentification manquante pour fonction critique (CWE-306)Note de bas de page 4 touche plusieurs versions de Microsoft SharePoint Server et pourrait permettre à un attaquant non autorisé d'élever des privilèges sur un réseau.
Publiée sous le numéro CVE-2026-55040Note de bas de page 5Note de bas de page 6, cette vulnérabilité d'authentification faible (CWE-1390)Note de bas de page 7 touche plusieurs versions de Microsoft SharePoint Server et pourrait permettre à un attaquant non autorisé de contourner une fonctionnalité de sécurité sur un réseau.
Publiée sous le numéro CVE-2026-58644Note de bas de page 8, cette vulnérabilité de désérialisation de données non fiables (CWE-502)Note de bas de page 9 touche plusieurs versions de Microsoft SharePoint Server et pourrait permettre à un attaquant non autorisé d'exécuter du code sur un réseau.
Microsoft est au courant de l'exploitation de la vulnérabilité CVE-2026-56164 et des autres vulnérabilités liées à SharePoint précédemment publiées. La vulnérabilité CVE-2026-56164 a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV pour Known Exploited Vulnerabilities)Note de bas de page 10 de la Cybersecurity and Infrastructure Security Agency (CISA) le 14 juillet 2026.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de mettre à niveau les instances de Microsoft SharePoint touchées à une version corrigée :
| Produits touché | Versions touchées | Versions corrigées |
|---|---|---|
| Microsoft SharePoint Enterprise Server 2016 | 16.0.0 avant 16.0.5561.1001 | 16.0.5561.1001 |
| Microsoft SharePoint Server 2019 | 16.0.0 avant 16.0.10417.20175 | 16.0.10417.20175 |
| Microsoft SharePoint Server Édition d'abonnement | 16.0.0 avant 16.0.19725.20434 | 16.0.19725.20434 |
Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :
- Identifier toutes les instances locales de SharePoint Server, en particulier celles qui sont connectées à Internet.
- Utiliser les versions locales de Microsoft SharePoint Server qui sont prises en charge ou procéder aux mises à niveau nécessaires pour déployer ces versions.
- Appliquer les dernières mises à jour de sécurité de Microsoft sur toutes les versions SharePoint Server touchées, y compris Édition abonnement, 2019 et 2016.
- Surveiller les serveurs SharePoint pour détecter toute activité suspecte, y compris les demandes inhabituelles, les codes encoquillés, les processus malveillants, les tentatives d'accès non autorisées et les indicateurs de compromission de clés machine.
- Renforcer les déploiements SharePoint :
- Activer l'intégration de l'interface d'analyse anti-programme malveillant (AMSI) dans les applications Web SharePoint.
- Configurer le mode Analyse du corps de la requête AMSI (AMSI Request Body Scan Mode) à Mode complet (Full Mode), dans la mesure du possible sur le plan opérationnel.
- Restreindre ou éliminer l'exposition directe à Internet des serveurs SharePoint, dans la mesure du possible.
- Limiter l'accès aux interfaces de gestion et à l'Administration centrale de SharePoint.
- Surveiller l'environnement pour détecter des indicateurs de compromission :
- Les organisations devraient surveiller de près les environnements SharePoint afin de détecter ce qui suit :
- Activités d'élévation des privilèges imprévues.
- Tentatives d'authentification non autorisées.
- Activités suspectes liées à l'accès aux clés machine IIS.
- Preuve d'attaque par désérialisation ou de déploiement de code encoquillé.
- Détections de Microsoft Defender et AMSI liées à l'activité d'exploitation de SharePoint.
- Les organisations devraient surveiller de près les environnements SharePoint afin de détecter ce qui suit :
Remarque importante : Microsoft SharePoint Enterprise Server 2016Note de bas de page 11 et SharePoint Server 2019Note de bas de page 12 sont en fin de vie depuis le 14 juillet 2026. Les organisations sont priées de migrer vers une version qui est prise en charge.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l'accent sur ce qui suitNote de bas de page 13 :
- appliquer des correctifs aux applications et aux systèmes d'exploitation;
- renforcer les systèmes d'exploitation et les applications;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.