Secu
Alerte : Les serveurs Sharepoint “On-Prem” victimes d’une importante faille Zero Day [MAJ]
Par Laurent Delattre, publié le 21 juillet 2025
Alors que les équipes IT tournent parfois au ralenti en cette époque estivale, les cybercriminels profitent de vulnérabilités inédites et très graves dans SharePoint “on-premise” pour mener des attaques fulgurantes. La menace, d’ampleur internationale, impose une réaction immédiate pour éviter des compromissions massives.
Article original publié le 21 juillet 2025 à midi.
Mis à jour dans la soirée du 21 juillet pour ajouter de nouveaux liens Microsoft et la réaction d’un expert de Tenable.
Les cyberattaquants ne prennent pas de congés… Bien au contraire. Durant les périodes de vacances estivales, les cyberattaques connaissent traditionnellement un pic d’activité. Les équipes de sécurité étant souvent en effectifs réduits, les entreprises deviennent des cibles privilégiées pour les acteurs malveillants. Cet été ne fait pas exception : une vulnérabilité critique de type « zero-day » vient d’être révélée sur les serveurs Microsoft SharePoint en version « on-premise ».
Depuis le 18 juillet, cette faille zéro‑day CVE‑2025‑53770 sur la version « locale » de Microsoft Sharepoint, depuis rejointe par CVE‑2025‑53771, est malheureusement déjà exploitée à grande échelle.
Eye Security, qui a tiré la sonnette d’alarme après un premier pic le 18 juillet à 18 h UTC suivi d’un second le 19 juillet à 07 h 30, a identifié des compromissions touchant déjà des dizaines d’organisations parmi lesquelles des multinationales, des entités gouvernementales et des acteurs de la santé et de l’énergie.
Une faille gravissime
La Cybersecurity and Infrastructure Security Agency (CISA) américaine a confirmé l’exploitation active de cette faille qui permet « un accès non authentifié aux systèmes et offre aux cyberattaquants un accès complet au contenu SharePoint, y compris aux fichiers internes et aux configurations, avec la possibilité d’exécuter du code à distance sur le réseau », comme le souligne Chris Butera, directeur adjoint par intérim de la cybersécurité à la CISA. L’agence précise que CVE‑2025‑53770 « représente un risque pour toutes les organisations disposant de serveurs SharePoint on‑premise » et appelle à « prendre sans délai les mesures recommandées ». Le FBI participe à l’enquête, tandis que Microsoft dit travailler « en étroite coordination avec la CISA, le DOD Cyber Defense Command et d’autres partenaires ».
« Ces vulnérabilités concernent exclusivement les serveurs SharePoint en local ; SharePoint Online via Microsoft 365 n’est pas affecté », précise la firme américaine.
La faille est désignée comme particulièrement « critique » avec un score de « 9,8 » (sur 10). Autant dire qu’elle est d’une exceptionnelle gravité.
Satnam Narang, Senior Staff Research Engineer de Tenable, estime que « L’exploitation active de la vulnérabilité zero day de SharePoint survenue ce week-end aura de lourdes conséquences pour les organisations concernées. Les attaquants ont pu exploiter cette faille, désormais identifiée sous le nom CVE-2025-53770, afin de dérober les informations de configuration MachineKey sur des serveurs SharePoint vulnérables, incluant une validationKey et une decryptionKey. Ces éléments permettent aux attaquants de créer des requêtes spécialement conçues permettant une exécution de code à distance sans authentification préalable. »
Tenable explique d’ailleurs que plus de 9.000 serveurs Sharepoint sont accessibles publiquement sur Internet et donc directement vulnérables aux attaques exploitant ces failles.
Techniquement, les vulnérabilités CVE‑2025‑53770 et CVE‑2025‑53771 dérivent directement de la paire de failles surnommée « ToolShell » (CVE‑2025‑49706 + CVE‑2025‑49704) corrigée partiellement lors du Patch Tuesday de juillet : un simple POST vers la page « ToolPane.aspx » de Sharepoint permet à un attaquant non authentifié de déposer un fichier compromis « spinstall0.aspx », puis d’exfiltrer les clés MachineKey et de forger un ViewState signé pour exécuter du code arbitraire, avec, à la clé, l’accès complet au contenu et aux fichiers du serveur.
Agir dès aujourd’hui
Microsoft a publié des correctifs d’urgence pour SharePoint 2019 (KB5002754) et SharePoint Subscription Edition (KB5002768). Aucune mise à jour n’est encore disponible pour SharePoint 2016.
Les administrateurs sont invités selon leur capacité de réaction à soit immédiatement appliquer le correctif de juillet, soit à immédiatement désactiver l’exposition Internet en attendant de pouvoir appliquer les correctifs.
Microsoft recommande fortement d’activer l’intégration AMSI (Antimalware Scan Interface) dans SharePoint, d’utiliser Defender AV et de procéder à une rotation immédiate des clés de machine ASP.NET afin d’empêcher la réexploitation des serveurs compromis. Cette rotation des clés est plus que recommandée même après application des patchs Microsoft !
L’éditeur a publié un billet de blog assez complet sur les indicateurs de compromission et autres informations utiles pour contrer les cyberattaques exploitant ces failles et appliquer les patchs de sécurité : Customer guidance for SharePoint vulnerability CVE-2025-53770
La CISA a également ajouté la vulnérabilité CVE-2025-53770 à son catalogue de failles activement exploitées, imposant aux agences fédérales américaines un délai d’un jour seulement après la publication des correctifs pour les appliquer. « Nous avons immédiatement pris contact avec Microsoft après avoir été alertés par un partenaire de confiance. Microsoft réagit rapidement, et nous collaborons afin d’informer les entités potentiellement impactées », précise Chris Butera.
Des indicateurs techniques précis permettent aux administrateurs de détecter si leurs systèmes ont été compromis, notamment en vérifiant l’existence du fichier malveillant “spinstall0.aspx” ou via l’analyse des requêtes POST suspectes dans les journaux IIS.
Cette alerte rappelle l’importance d’une vigilance renforcée durant les congés estivaux. Elle met surtout une pression immédiate sur les équipes sécurité des organisations qui exploitent encore SharePoint sur site : application immédiate des correctifs disponibles, activation d’AMSI, rotation des clés et audit poussé des journaux doivent figurer en tête de leur to‑do list, avant que la trêve estivale ne se transforme en cauchemar post‑vacances. Bon courage à tous…
À LIRE AUSSI :
À LIRE AUSSI :
