Une alerte de sécurité à ne vraiment pas prendre à la légère. Samedi dernier, Microsoft a publié un bulletin de sécurité alertant les utilisateurs des versions on premise de Sharepoint d’un grand risque d’exploit. « Microsoft a connaissance d’attaques actives ciblant des clients de serveurs SharePoint sur site et exploitant des vulnérabilités partiellement corrigées par la mise à jour de sécurité de juillet. Ces vulnérabilités s’appliquent uniquement aux serveurs SharePoint sur site. SharePoint Online dans Microsoft 365 n’est pas concerné », a indiqué l’éditeur. Les versions exposées à des exploits sont 2016, 2019 et Subscription Edition.

Les deux failles zero day exploitées affectant ces versions de Sharepoint sont la CVE-2025-53771 (de type path traversal donnant accès à des fichiers et répertoires stockés en dehors du dossier racine d’un site web), et la CVE-2025-53770, de type exécution de commandes à distance (RCE). Cette dernière est la plus redoutable et a mis aussi en alerte l’agence américaine de cybersécurité dès dimanche. « Cette variante de la faille existante CVE-2025-49706 représente un risque pour les entreprises », assure la CISA. « Cette activité d’exploitation, signalée publiquement sous le nom de ToolShell fournit un accès non authentifié aux systèmes et permet à des acteurs malveillants d’accéder pleinement au contenu de Sharepoint, y compris aux systèmes de fichiers et aux configurations internes, et d’exécuter du code sur le réseau. »

Des fournisseurs d’énergie et institutions financières touchés

Ces exploits de failles font l’objet d’une campagne malveillante coordonnée qui a été observée pour la première fois par des chercheurs d’Eye Security le 18 juillet qui ont publié leur avis le jour d’après. Selon eux, les attaquants on trouvé le moyen de déployer sur des serveurs Sharepoint ciblés une charge utile ASPX malveillante connue sous le nom de « spinstall0.aspx », qui extrait les clés machine cryptographiques utilisées par l’outil collaboratif de Microsoft. Une fois les clés obtenues, les attaquants peuvent falsifier des jetons ViewState valides et conserver un accès persistant, même après que les serveurs ont été corrigés. Eye Security estime qu’au moins 75 à 85 serveurs ont déjà été compromis, les victimes étant des agences gouvernementales, des entreprises de télécommunications, des institutions financières, des universités et des fournisseurs d’énergie.

La firme de Redmond a publié des mises à jour de sécurité protégeant les clients utilisant SharePoint Subscription Edition et SharePoint 2019 contre les risques posés par les CVE-2025-53770, et CVE-2025-53771, avec respectivement les patchs KB5002768 et KB5002754. En revanche, il n’existe pour l’heure aucun correctif pour Sharepoint 2016. Pour limiter les attaques potentielles, le fournisseur recommande à ses clients concernés d’appliquer le dernier patch tuesday de juillet, de s’assurer que l’interface d’analyse antimalware (AMSI) est activée et configurée correctement avec une solution antivirus appropriée et d’effectuer une rotation des clefs de machine ASP.NET de SharePoint Server.

Des mesures d’atténuation à appliquer

« Configurez AMSI dans SharePoint et déployez Microsoft Defender AV sur tous les serveurs SharePoint. Si AMSI ne peut pas être activée, déconnectez les produits concernés des services qui sont en contact avec le public sur Internet jusqu’à ce que des mesures d’atténuation officielles soient disponibles. Une fois les mesures d’atténuation disponibles, appliquez-les conformément aux instructions de la CISA et du fournisseur. Suivez les conseils du BOD 22-01 applicables aux services cloud ou cessez d’utiliser le produit si les mesures d’atténuation ne sont pas disponibles », a prévenu l’agence de cybersécurité américaine. Parmi ses autres recommandations : surveiller les requêtes POSTs vers /_layouts/15/ToolPane.aspx?DisplayMode=Edit, rechercher des adresses IP 107.191.58[.]76, 104.238.159[.]149 et 96.9.125[.]147, en particulier entre les 18 et 19 juillet 2025, et mettre à jour les règles du système de prévention des intrusions et du pare-feu applicatif pour bloquer les schémas d’exploitation et les comportements anormaux.