Une vulnérabilité SharePoint critique, identifiée sous le code CVE-2025-53770, fait l’objet d’une exploitation massive à l’échelle mondiale, mettant en danger les serveurs SharePoint sur site. Avec un score de gravité de 9,8 sur 10, cette faille permet à des attaquants non authentifiés d’exécuter du code à distance, compromettant des données sensibles et des infrastructures critiques.
- Une faille zero-day aux conséquences graves
- Une exploitation massive et rapide
- Conséquences pour les organisations
- Mesures de protection immédiates
- 1. Appliquer les correctifs disponibles
- 2. Renouveler les clés cryptographiques
- 3. Déconnecter les serveurs exposés
- 4. Surveiller les indicateurs de compromission
- 5. Déployer des solutions de détection
- Un défi pour la cybersécurité moderne
Une faille zero-day aux conséquences graves
La vulnérabilité SharePoint CVE-2025-53770, découverte récemment, exploite une faiblesse dans la désérialisation de données non fiables sur les serveurs SharePoint sur site. Cette faille permet aux attaquants d’accéder sans authentification aux systèmes exposés sur Internet, leur offrant un contrôle total sur les fichiers, les configurations internes et l’exécution de code arbitraire. Selon Microsoft, cette vulnérabilité ne touche pas les services cloud comme SharePoint Online ou Microsoft 365, mais uniquement les installations sur site.
En outre, les attaquants utilisent cette faille dans une attaque baptisée ToolShell, qui déploie des portes dérobées (backdoors) et extrait des clés cryptographiques, telles que les MachineKeys ASP.NET, permettant un accès persistant même après l’application de correctifs. Cette capacité à maintenir un accès furtif rend la menace particulièrement dangereuse.
Une exploitation massive et rapide
Les premières attaques ont été détectées dès le 18 juillet 2025, avec des vagues d’exploitation signalées par la firme de sécurité Eye Security. En scannant plus de 8 000 serveurs SharePoint accessibles publiquement, les chercheurs ont identifié des dizaines de systèmes compromis, incluant des organisations gouvernementales, des universités, des entreprises énergétiques et des agences fédérales américaines.
Par ailleurs, la vulnérabilité SharePoint est une variante de CVE-2025-49706, partiellement corrigée lors de la mise à jour de juillet 2025 de Microsoft. Cependant, les attaquants ont contourné ces correctifs, exploitant une nouvelle chaîne d’attaque présentée lors du concours Pwn2Own à Berlin en mai 2025. Cette rapidité d’adaptation illustre la sophistication des cybercriminels face aux mesures de sécurité traditionnelles.
Conséquences pour les organisations
L’impact de cette vulnérabilité SharePoint est considérable. Les attaquants peuvent :
- Accéder aux données sensibles : Les serveurs compromis permettent l’exfiltration de fichiers, de configurations internes et de jetons d’authentification.
- Déployer des portes dérobées : Le backdoor ToolShell garantit un accès continu, même après l’application de correctifs, si les clés cryptographiques ne sont pas renouvelées.
- Étendre les attaques : Les jetons volés offrent un accès privilégié à d’autres systèmes connectés, comme Teams ou OneDrive, amplifiant les dommages potentiels.
En conséquence, des organisations dans des secteurs critiques, tels que la santé, l’éducation et le gouvernement, sont particulièrement vulnérables. La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la faille à son catalogue des vulnérabilités exploitées, imposant aux agences fédérales américaines de prendre des mesures immédiates d’ici le 21 juillet 2025.
Mesures de protection immédiates
Face à cette menace, Microsoft et les experts en cybersécurité recommandent plusieurs actions urgentes :
1. Appliquer les correctifs disponibles
Microsoft a publié des mises à jour d’urgence pour SharePoint Subscription Edition et SharePoint Server 2019 (CVE-2025-53770 et CVE-2025-53771). Les utilisateurs de SharePoint Server 2016 doivent activer l’interface de numérisation antimalware (AMSI) en attendant un correctif.
2. Renouveler les clés cryptographiques
Les organisations doivent renouveler les MachineKeys ASP.NET de leurs serveurs SharePoint et redémarrer le serveur IIS pour empêcher un accès persistant. Microsoft fournit des instructions via la commande PowerShell Update-SPMachineKey.
3. Déconnecter les serveurs exposés
Si l’application des correctifs ou d’AMSI n’est pas possible, il est conseillé de déconnecter les serveurs SharePoint d’Internet pour limiter les risques.
4. Surveiller les indicateurs de compromission
Les administrateurs doivent vérifier la présence de fichiers suspects, comme spinstall0.aspx, et surveiller les journaux IIS pour des requêtes POST vers /layouts/15/ToolPane.aspx. Les adresses IP suspectes incluent 107.191.58.76, 104.238.159.149 et 96.9.125.147.
5. Déployer des solutions de détection
L’utilisation de Microsoft Defender for Endpoint ou d’autres solutions de détection avancées peut aider à identifier et bloquer les activités post-exploitation.
Un défi pour la cybersécurité moderne
Cette vulnérabilité SharePoint met en lumière les limites des approches traditionnelles de sécurité, notamment l’hypothèse que les utilisateurs authentifiés sont fiables. Comme l’a souligné Rik Ferguson de Forescout, les modèles de confiance périmétrique sont obsolètes face aux attaquants modernes.
En outre, l’exploitation rapide de cette faille, peu après sa démonstration à Pwn2Own, montre l’importance de la réactivité dans la gestion des vulnérabilités zero-day. Les solutions basées sur l’intelligence artificielle, capables d’analyser les comportements anormaux en temps réel, pourraient jouer un rôle clé dans la prévention de telles attaques à l’avenir.
La vulnérabilité SharePoint CVE-2025-53770 représente une menace critique pour les organisations utilisant des serveurs SharePoint sur site. Son exploitation massive, combinée à la capacité des attaquants à contourner les correctifs initiaux, exige une réponse immédiate et coordonnée. En appliquant les correctifs, en renouvelant les clés cryptographiques et en renforçant la surveillance, les organisations peuvent limiter les dommages. Cependant, cet incident rappelle que la cybersécurité nécessite une vigilance constante et une adaptation rapide face aux menaces émergentes.
