Microsoft SharePoint, 16:9

Microsoft SharePoint Zero-Day Breach frappe les serveurs sur prém

Lucas Morel

La CISA a obligé une atténuation immédiate des agences fédérales, tandis que les analystes exhortent les entreprises à accélérer la migration du cloud et à mettre en œuvre la détection des menaces en direct.

Les attaquants exploitent une vulnérabilité auparavant inconnue dans le serveur Microsoft SharePoint, avec des chercheurs en sécurité confirmant des dizaines de serveurs compromis à l’échelle mondiale depuis le début des attaques le 18 juillet.

Bien que la mise à jour de sécurité de juillet de la société ne résout en partie le problème, il y a quelques modifications de configuration supplémentaires que les entreprises peuvent apporter à se protéger pleinement, a indiqué la société dans un communiqué publié samedi.

Pour contrer les nouvelles vulnérabilités, suivies sous le nom de CVE-2025-53770 et CVE-2025-53771, Microsoft a recommandé d’activer la fonction d’intégration AMSI et d’utiliser Microsoft Defender dans SharePoint Server Farm pour protéger contre cette vulnérabilité.

« Microsoft est au courant des attaques actives ciblant les clients sur site de SharePoint Server en exploitant des vulnérabilités partiellement abordées par la mise à jour de sécurité de juillet », a déclaré la société dans un communiqué publié samedi. «Ces vulnérabilités s’appliquent uniquement aux serveurs SharePoint sur site. SharePoint Online dans Microsoft 365 n’est pas affecté.»

L’exploit zéro-jour représente une menace critique pour les opérations d’entreprise car elle permet aux attaquants non autorisés d’exécuter du code à distance sans authentification, ce qui donne potentiellement aux cybercriminels un contrôle complet sur les systèmes affectés. « Cette vulnérabilité zéro-jour remet en question l’hypothèse de longue date de l’entreprise selon laquelle l’infrastructure de collaboration peut être corrigée sur des cycles de commodité », a déclaré Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research.

Le voilier de vulnérabilité expose les lacunes de sécurité critiques

Les attaques exploitent une chaîne de vulnérabilité sophistiquée qui, selon les experts en sécurité, révèle des défauts fondamentaux dans la façon dont les fournisseurs abordent une évaluation complète des menaces. «Alors que Microsoft a publié des correctifs individuels pour CVE-2025-49706 et CVE-2025-49704, ils n’ont pas réussi à corriger la chaîne d’exploitation entièrement, laissant une variante (maintenant CVE-2025-53770) sans tendre», a déclaré Sunil Varkey, conseiller de Beagle Security.

« En cybersécurité, une seule vulnérabilité peut présenter un risque important, mais lorsque les vulnérabilités sont combinées, les conséquences peuvent être catastrophiques », a expliqué Varkey. « Ce n’était pas seulement une raté technique. Ce fut un échec stratégique de reconnaître comment les parties individuelles se sont combinées pour former quelque chose de bien plus dangereux. »

L’exploit zéro-jour est passé de la découverte des chercheurs aux attaques du monde réel dans les 72 heures malgré le fait qu’aucun code d’exploitation officiel n’ait été publié. « Cet incident révèle un schéma croissant: les divulgations techniques partielles sont suffisantes pour que les adversaires sophistiqués reconstruisent et lancent des exploits ciblés », a noté Gogia.

L’impact de l’entreprise s’intensifie à mesure que les clés de sécurité sont compromises

La sophistication de l’attaque présente des risques particuliers pour les environnements d’entreprise où SharePoint sert de centre central pour la collaboration de documents et la gestion du flux de travail. Contrairement aux attaques Web traditionnelles axées sur l’exécution de commandes simples, cet exploit cible spécifiquement l’infrastructure cryptographique de SharePoint pour maintenir un accès persistant.

Dans le cadre de l’exploitation, les attaquants téléchargent un fichier nommé «Spinstall0.aspx», qui est utilisé pour voler la configuration de MachineKey du serveur Microsoft SharePoint, y compris le ValidationKey et DecryptionKey, ont rapporté des chercheurs en sécurité. « Une fois ce matériel cryptographique divulgué, l’attaquant peut élaborer des charges utiles __Viewstate entièrement valides», a expliqué la sécurité oculaire dans son analyse.

La société néerlandaise de cybersécurité Eye Security, qui a d’abord identifié la campagne d’exploitation de masse, a découvert que les attaques ont commencé à cibler systématiquement des serveurs vulnérables le 18 juillet, vers 18h00, l’heure d’Europe centrale. « En quelques heures, nous avons identifié plus de dizaines de serveurs distincts compromis en utilisant exactement la même charge utile au même fichier », ont déclaré des chercheurs en sécurité oculaire dans leur analyse.

La gravité de la menace a provoqué une action fédérale rapide, la CISA ajoutant le CVE-2025-53770 à son catalogue de vulnérabilités exploité connu dimanche, deux jours seulement après la confirmation de l’exploitation active. « Le BOD 22-01 exige que les agences fédérales de direction civile (FCEB) remettent en réparation des vulnérabilités identifiées par la date d’échéance pour protéger les réseaux FCEB contre les menaces actives », a noté l’agence dans son avis, donnant aux agences fédérales jusqu’au 21 juillet pour mettre en œuvre des atténuations.

Les gains de migration du cloud gains l’urgence après un impact différentiel

Le CVE-2025-53770 n’a pas affecté le service en ligne SharePoint hébergé par Cloud de Microsoft – seulement ses versions sur site. Cette divergence a renouvelé l’intérêt des entreprises pour la migration du cloud pour les plateformes de collaboration, ont déclaré les analystes.

« L’immunité de SharePoint Online n’était pas un accident. C’était le résultat d’un plan de service contrôlé avec une télémétrie centralisée, une réponse à la menace intégrée et des correctifs automatisés », a expliqué Gogia. « La leçon est claire: les architectures sécurisées par conception ne sont plus facultatives. Ils sont fondamentaux. »

Pour les entreprises incapables de migrer immédiatement, les étapes d’atténuation immédiates sont essentielles. « Pour protéger votre environnement de serveur SharePoint sur site, nous recommandons aux clients de configurer l’intégration AMSI dans SharePoint et de déployer Defender AV sur tous les serveurs SharePoint.

« Si vous ne pouvez pas activer AMSI, nous vous recommandons d’envisager de déconnecter votre serveur d’Internet jusqu’à ce qu’une mise à jour de sécurité soit disponible », a ajouté Microsoft. La société a également souligné l’importance critique de la rotation des clés de la machine ASP.NET du serveur SharePoint ASP.NET et du redémarrage des services IIS après avoir appliqué des mises à jour de sécurité.

La chaîne de vulnérabilité, connue sous le nom de «Shell», combine deux défauts de sécurité précédemment divulgués qui ont été initialement démontrés lors de la conférence de sécurité PWN2OWN Berlin en mai. Alors que Microsoft a abordé ces vulnérabilités originales, les cybercriminels ont rapidement développé des variantes qui contournent les correctifs.

« Microsoft a peut-être manqué de l’anticiper en raison de la validation incomplète des patchs, de la modélisation inadéquate des menaces du chaînage de vulnérabilité, des tests adversaires limités et de l’évolution rapide des exploits après la divulgation publique », a expliqué Varkey.

Stratégie de réponse à l’entreprise

Les avis de Microsoft et de la CISA ont suggéré que les équipes de sécurité des entreprises devraient immédiatement évaluer les compromis potentiels et mettre en œuvre des capacités de surveillance complètes. Les organisations doivent effectuer des examens approfondis pour des signes d’accès non autorisé, car l’intégration de SharePoint avec les services de base de Microsoft, y compris Outlook, Teams et OneDrive, signifie qu’une violation réussie peut rapidement dégénérer un compromis plus large du réseau par le biais de mouvements latéraux et de récolte d’accrédités.

«La réponse à la sécurité doit désormais englober la détection en direct des modèles d’accès anormaux, une rotation secrète automatisée et une surveillance de l’exploitant continu», a conseillé Gogia. «Le traitement des notifications CVE comme des entrées passives n’est plus acceptable. Les organisations doivent activer la réponse à la menace Le potentiel d’exploitation du moment devient visible dans l’écosystème.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft