Un correctif du 8 juillet pour un jour zéro de SharePoint critique n’a pas réussi à arrêter l’exploitation active, permettant aux attaquants soutenus par l’État de violer près de 100 organisations dans le monde.
Un correctif du 8 juillet pour le Flaw Zero-Day Server SharePoint Server, qui a abouti à une attaque mondiale sur près de 100 organisations au cours du week-end à partir du 18 juillet, n’avait pas entièrement corrigé le défaut.
Le défaut a été porté à la notification de Microsoft en mai lors d’un concours de pirates et a été rapidement adressé avec un patch incomplet par la société avant d’être activement exploité dans la nature.
« Dans le paysage d’aujourd’hui, où les attaquants peuvent inverser le patch en quelques heures, le temps entre la divulgation et la réparation complète est une fenêtre critique », a déclaré Shane Barney, CISO, sécurité des gardiens. «Il est essentiel que les fournisseurs continuent d’investir dans des tests de pré-libération, l’utilisation de langues en matière de mémoire et les pratiques d’ingénierie modernes qui réduisent le risque de correctifs partiels ou inefficaces.»
Microsoft et Google attribuent désormais les attaques aux acteurs de la menace alignés par la Chine, ce qui a augmenté de nouvelles alarmes sur les risques de sécurité liés aux déploiements de partage sur place.
Une solution qui n’a pas collé
Le correctif initial, publié peu de temps après la surface du jour zéro lors d’un concours de pirates de Berlin, a été insuffisant pour empêcher les exploits actifs, selon Reuters, qui a examiné le calendrier de Microsoft et a confirmé qu’un porte-parole a admis que le correctif ne fonctionnait pas pleinement. Sophos a rapporté que les acteurs de la menace avaient contourné la mise à jour presque immédiatement, conduisant à un compromis rapide des serveurs SharePoint exposés.
« Le correctif de SharePoint incomplet de Microsoft n’est pas un faux pas isolé », a déclaré Mayuresh Dani, responsable de la recherche sur la sécurité chez Qualys. « Les lacunes de correctifs et les correctifs de première ronde échoués restent courants. Ils permettent aux bogues d’être enchaînés avec des fondements de phishing pour un compromis complet, ou provoquent une instabilité du système pour retarder le correctif, ce qui prolonge l’exposition. »
Microsoft a par la suite publié un deuxième ensemble de correctifs qui ont abordé les défauts restants. Cependant, le calendrier rapide de la divulgation à l’exploitation a exposé les faiblesses en cours dans le pipeline de vulnérabilité au patch.
Selon un avis Microsoft, la société a initialement corrigé les vulnérabilités, suivie en CVE-2025-49704 et CVE-2025-49706, le 8 juillet, après leur divulgation au concours de hacker de mai. Le correctif était incomplet et les attaquants ont exploité le même chemin de code. Microsoft a ensuite publié un deuxième ensemble de correctifs pour aborder entièrement la vulnérabilité du jour zéro, désormais suivi sous le nom de CVE-2025-53770 et CVE-2025-53771.
« Les logiciels sont complexes et fortement interconnectés – les surfaces d’attaque ne sont pas toujours entièrement comprises », a déclaré Trey Ford, CISO chez BugCrowd. «C’est pourquoi les correctifs nécessitent souvent une itération pour résoudre de manière approfondie le problème.»
Les pirates liés à la Chine exploitent l’écart
Un blog Microsoft identifie les groupes affiliés aux Chinois «Typhoon de lin» (APT27) et «Violet Typhoon» (APT31), ainsi qu’un troisième acteur suspect par l’État surnommé Storm-2603, comme les exploiteurs probables du zéro-jour.
Le CTO mandiant de Google, Charles Carmakal, a qualifié au moins un acteur de «China-Nexus», suggérant des motivations d’espionnage.
Selon Dani, le changement vers des plateformes de collaboration comme SharePoint n’est pas une coïncidence. « SharePoint agit comme un guichet unique pour des documents sensibles, le code source, les RH et le contenu juridique », a-t-il déclaré. «Les groupes de menaces sont passés des appareils Edge vers des plates-formes de collaboration internes car ces systèmes fournissent à la fois des données sensibles et un accès au réseau privilégié.»
L’exploit, surnommé la coque à outils, permet l’exécution de code distant, le vol de clés et l’installation de logiciels malveillants sur les serveurs sur prém. Le CISA américain a ajouté le CVE-2025-53770 à son catalogue de vulnérabilités exploité connu, exhortant la correction immédiate. Barney a averti que les acteurs soutenus par l’État s’intègrent désormais dans des flux de travail commerciaux. «Ils veulent accès aux joyaux de la couronne. Ces plateformes abritent bien plus que les plans et les communications internes et les communications internes.
