Une faille de sécurité critique dans Microsoft SharePoint Server est exploitée activement par des cybercriminels dans le cadre d’une vaste campagne de piratage. Selon les experts en cybersécurité, plus de 75 organisations à travers le monde, incluant des entreprises majeures et des administrations, ont déjà été compromises. Cette vulnérabilité, identifiée sous le code CVE-2025-53770, permet l’exécution de code à distance via le réseau, représentant un risque majeur pour les infrastructures informatiques tournant sur SharePoint. Pour ceux qui recherchent des informations sur une faille zero-day SharePoint ou comment s’en protéger, cet article fournit une analyse complète.
Une vulnérabilité zero-day exploitée activement
Une faille non corrigée utilisée à grande échelle
La faille CVE-2025-53770 (score CVSS : 9.8) est une variante du bug CVE-2025-49706 précédemment corrigé. Cette vulnérabilité repose sur le mécanisme de désérialisation de données non fiables au sein de SharePoint On-Premise. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire à distance depuis le réseau.
Cette exploitation, touchant principalement les infrastructures locales Microsoft SharePoint, a été révélée dans un avis officiel de Microsoft le 19 juillet 2025. Le laboratoire Viettel Cyber Security est à l’origine de la découverte, signalée via l’organisation Zero Day Initiative de Trend Micro.
Des attaques en cours contre SharePoint Server
La firme de Redmond confirme des attaques ciblant activement ses clients utilisant SharePoint Server sur site. À noter que la version SharePoint Online, hébergée via Microsoft 365, ne serait pas concernée par cette vulnérabilité.
En attendant un correctif complet, Microsoft recommande d’activer l’intégration de l’Antimalware Scan Interface (AMSI) dans SharePoint, ainsi que de déployer Microsoft Defender Antivirus sur tous les serveurs concernés. Cela permettrait de limiter l’exploitation de la faille en détectant les scripts malveillants avant leur exécution.
Conséquences de l’exploitation et tactiques utilisées
Un accès persistant et discret aux serveurs SharePoint
Les cybercriminels utilisent des charges utiles ASPX via PowerShell pour voler la configuration MachineKey du serveur compromis. Ils ciblent spécifiquement les clés ValidationKey et DecryptionKey, utilisées pour générer des requêtes SharePoint authentifiées transformées en vecteurs de remote code execution.
Selon Eye Security, firme de cybersécurité néerlandaise qui enquête sur ces attaques, ces clés permettent aux attaquants de simuler des requêtes internes valides. Cela leur donne la capacité de se déplacer latéralement dans le réseau et compromettre d’autres systèmes liés.
Le volume de compromissions déjà détectées est alarmant. Eye Security affirme avoir alerté plus de 75 entreprises ou organisations publiques dans le monde, chez qui des web shells malveillants ont été trouvés sur les serveurs SharePoint.
Une chaîne d’exploitation sophistiquée
Les attaques en cours s’appuient sur une chaîne d’exploit nommée ToolShell, combinant plusieurs vulnérabilités : CVE-2025-49706 et CVE-2025-49704 (faille d’injection de code, CVSS 8.8). Cette combinaison permet aux hackers d’exécuter des commandes arbitraires sur des instances vulnérables.
Cette méthode élaborée montre une montée en sophistication des attaques ciblant SharePoint. Les professionnels de la cybersécurité sont encouragés à suivre les incidents récemment identifiés afin de mieux comprendre les vecteurs d’intrusion utilisés.
Mesures de protection recommandées
Solutions temporaires en attendant un correctif
En l’absence de correctif officiel au moment de la publication, Microsoft recommande d’activer l’intégration AMSI si ce n’est déjà fait. Cette fonction est activée par défaut sur les versions mises à jour depuis septembre 2023 pour SharePoint Server 2016/2019 et pour la version 23H2 de SharePoint Server Subscription Edition.
Pour les administrateurs ne pouvant activer AMSI, il est conseillé de désactiver temporairement l’accès Internet des serveurs SharePoint. Cela réduit considérablement les risques de compromission par des attaquants externes.
Détection proactive et bonne hygiène de sécurité
Microsoft recommande fortement de déployer Defender for Endpoint afin de détecter les activités suspectes après une exploitation potentielle. Cette stratégie permet de répondre rapidement en cas d’intrusion réseau ou d’exécution de code non autorisée.
Les experts rappellent également que la sensibilisation à la sécurité est essentielle. Une formation continue permet aux équipes IT de mieux comprendre ces techniques d’intrusion. Pour ceux qui souhaitent approfondir leurs connaissances en matière de reverse engineering ou de vulnérabilités web, notre livre pour hacker constitue une excellente ressource. Il s’adresse aux passionnés comme aux professionnels qui veulent apprendre à hacker afin de mieux se défendre contre les menaces actuelles.
Face à la sophistication des attaques récentes sur SharePoint, il est indispensable d’auditer régulièrement ses infrastructures informatiques. Chez CyberCare, nous proposons des services spécialisés en analyse de vulnérabilités et en réponse à incident pour aider nos clients à rester protégés contre ce type de menaces avancées.
