Le Patch Tuesday de juillet 2026 de Microsoft a attiré immédiatement l’attention non seulement en raison de son envergure record, mais aussi parce que deux zero-days activement exploités ont touché certaines des parties les plus sensibles de l’infrastructure d’entreprise. CVE-2026-56164 cible SharePoint Server sur site et est exploitable à distance dans des attaques de faible complexité, tandis que CVE-2026-56155 cible Active Directory Federation Services et permet une élévation de privilèges à partir d’un accès local peu privilégié. Ensemble, ils montrent pourquoi les défenseurs ne devraient pas trier le risque de ce mois uniquement par score.
Le bug de SharePoint est le problème le plus urgent exposé à Internet. Les rapports publics indiquent qu’il ne nécessite ni identifiants ni interaction de l’utilisateur, ce qui le rend particulièrement dangereux pour les organisations utilisant encore SharePoint auto-hébergé. La faille AD FS est plus limitée en portée, mais tout aussi importante en pratique car l’infrastructure de fédération se trouve au centre de l’identité et de la confiance de l’entreprise. Une fois que les attaquants atteignent cette couche, l’impact peut s’étendre bien au-delà d’un seul hôte.
Analyse des CVE-2026-56164 et CVE-2026-56155
For Analyse du CVE-2026-56164, le point clé est que Microsoft et les rapports externes décrivent tous deux la faille comme déjà exploitée dans de réelles attaques contre SharePoint sur site. C’est un problème d’élévation de privilèges, mais contrairement à de nombreux bugs de privilèges, il est exploitable à distance et de faible complexité, ce qui le rend beaucoup plus dangereux opérationnellement que ne le suggère l’étiquette seule.
Les détails actuels pour CVE-2026-56164 demeurent limités. Microsoft n’a pas expliqué publiquement la chaîne d’exploitation exacte, l’acteur responsable ou le comportement complet post-compromis. Ce qui est clair, c’est que la faille affecte SharePoint Server auto-hébergé et devrait être traitée comme un événement de correction à haute priorité, surtout parce que les mises à jour de juillet corrigent également des problèmes supplémentaires d’exécution de code à distance et de contournement de la sécurité de SharePoint.
Le zero-day AD FS a un profil différent. CVE-2026-56155 affecte Active Directory Federation Services et commence à partir de privilèges locaux faibles, ce qui signifie qu’il est plus susceptible d’être utile après qu’un attaquant ait déjà obtenu un certain accès. Cela dit, AD FS est exactement le type d’infrastructure d’identité que les attaquants recherchent une fois qu’ils sont à l’intérieur d’un réseau, car il se trouve sur le chemin de l’authentification pour le reste de l’environnement.
Au moment de la rédaction, il n’existe aucun PoC public pour CVE-2026-56164, et aucune IOC détaillée publiquement pour CVE-2026-56155 dans les rapports cités. Cela signifie que les défenseurs devraient se concentrer moins sur la détection basée sur la signature et plus sur la réduction de l’exposition, le déploiement de correctifs, et l’examen post-compromis des systèmes les plus susceptibles d’être abusés.
Atténuation des CVE-2026-56164 et CVE-2026-56155
La réponse recommandée par Microsoft est simple : corriger immédiatement les deux failles. Pour SharePoint, activer AMSI en mode complet peut aider à atténuer les attaques, mais la correction reste la priorité car les mises à jour de juillet ferment également d’autres faiblesses de SharePoint que les attaquants peuvent enchaîner. Cela rend la détection de CVE-2026-56164 moins axée sur l’attente d’une télémétrie parfaite et plus sur la confirmation des serveurs exposés, accessibles à partir d’Internet, et toujours non corrigés.
Pour AD FS, le correctif est inclus dans les mises à jour de Windows et Windows Server, et Microsoft a également commencé à renforcer la liste de contrôle d’accès sur le conteneur Distributed Key Manager d’AD FS. En pratique, l’atténuation du CVE-2026-56155 devrait être traitée à la fois comme un exercice de correction et un exercice de renforcement du niveau d’identité.
Pour détecter CVE-2026-56155, les équipes de sécurité devraient prioriser les serveurs de fédération, valider que les mises à jour pertinentes ont été appliquées, et examiner les changements de privilèges locaux suspects ou l’abus de l’infrastructure d’identité. La même logique s’applique à SharePoint : inventorier tous les serveurs sur site, les corriger rapidement, et vérifier si des instances accessibles de l’extérieur ont montré des signes d’accès inhabituel ou d’abus post-authentification depuis la fenêtre d’exploitation observée la plus tôt.
VÉRIFIER LES DÉTECTIONS DISPONIBLES
Avertissement : Le contenu de détection peut ne pas être disponible pour chaque CVE. Consultez la plate-forme SOC Prime pour une couverture actuelle. Si vous ne trouvez pas de détections pertinentes maintenant, veuillez vérifier plus tard.
FAQ
Que sont CVE-2026-56164 et CVE-2026-56155 et comment fonctionnent-ils ?
CVE-2026-56164 est une faille d’élévation de privilèges activement exploitée dans Microsoft SharePoint Server sur site, elle est exploitable à distance dans des attaques de faible complexité. CVE-2026-56155 est une faille d’élévation de privilèges activement exploitée dans Active Directory Federation Services qui commence à partir de privilèges locaux faibles et peut aider les attaquants à pivoter plus profondément dans l’infrastructure d’identité.
Quand les CVE-2026-56164 et CVE-2026-56155 ont-ils été découverts pour la première fois ?
Les rapports publics ne divulguent pas de date de découverte privée pour l’un ou l’autre des problèmes. Ce qui est connu, c’est que Microsoft a publié publiquement des correctifs en juillet 2026 et a crédité les intervenants en cas d’incident pour les deux, ce qui suggère fortement une découverte lors d’une enquête sur une attaque réelle.
Quel est l’impact de CVE-2026-56155 sur les systèmes ?
L’impact le plus grave de CVE-2026-56155 est l’élévation de privilèges sur un hôte AD FS, ce qui peut être bien plus important que l’exigence d’accès local ne le laisse entendre, car AD FS signe et gère la confiance d’identité à travers l’environnement. Entre de mauvaises mains, la compromission de ce rôle peut soutenir un mouvement latéral plus large et un abus ultérieur.
CVE-2026-56164 et CVE-2026-56155 peuvent-ils encore m’affecter en 2026 ?
Oui. Les organisations peuvent encore être exposées en 2026 si elles n’ont pas appliqué les mises à jour Microsoft de juillet 2026, surtout si elles utilisent SharePoint sur site accessible à Internet ou maintiennent des serveurs AD FS déjà accessibles aux attaquants par une pénétration existante.
Comment puis-je me protéger des CVE-2026-56164 et CVE-2026-56155 ?
Corrigez immédiatement, activez le mode complet AMSI sur SharePoint comme mesure de contrôle supplémentaire, déployez les mises à jour groupées de Windows et Windows Server pour AD FS, et examinez vos systèmes de collaboration et d’identité les plus sensibles pour des signes d’abus post-compromission. Dans ce cas, la rapidité compte plus que d’attendre une divulgation publique complète de l’exploitation.