ToolShell : une faille zero day critique affectant Microsoft SharePoint exploitée à l'échelle mondiale, permettant aux pirates de voler des informations d'identification pour un accès privilégié et persistant

ToolShell : une faille zero day critique d'une sévérité de 9,8 affectant Microsoft SharePoint est exploitée à l’échelle mondiale,
permettant aux pirates de voler des informations d'identification donnant un accès privilégié et persistant

Un vent de panique souffle sur les infrastructures informatiques mondiales. Une faille critique de type zero day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.

Les attaques exploitant cette vulnérabilité ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, telles que les clés de machine ASP.NET, qui pourraient permettre d'autres attaques, telles que la falsification de jetons d'authentification ou l'accès persistant.

Les autorités et les chercheurs tirent la sonnette d'alarme face à l'exploitation massive et active d'une vulnérabilité critique dans Microsoft SharePoint Server, qui permet aux attaquants de s'emparer de données sensibles d'entreprises, notamment des jetons d'authentification utilisés pour accéder aux systèmes à l'intérieur des réseaux. Les chercheurs ont déclaré que toute personne utilisant une instance de SharePoint sur site devrait supposer que son réseau a été violé.

La vulnérabilité, répertoriée sous le nom de CVE-2025-53770, a une note de gravité de 9,8 sur 10, ce qui indique sa nature grave et sa facilité d'exploitation. Elle permet un accès à distance non authentifié aux serveurs SharePoint exposés à Internet. Depuis vendredi, les chercheurs ont commencé à signaler l'exploitation active de cette vulnérabilité, qui affecte les serveurs SharePoint exploités en interne par les clients de l'infrastructure. SharePoint Online et Microsoft 365, hébergés dans le cloud de Microsoft, ne sont pas concernés.

Samedi, Microsoft a confirmé les attaques s'appuyant sur cette faille qui était encore zero day. Un jour plus tard, l'entreprise a mis à jour le message pour mettre à disposition une mise à jour d'urgence corrigeant la vulnérabilité, ainsi qu'une vulnérabilité connexe répertoriée sous le nom de CVE-2025-53771, dans SharePoint Subscription Edition et SharePoint 2019. Les clients qui utilisent l'une ou l'autre de ces versions doivent appliquer les mises à jour immédiatement :

La chaîne d'exploitation observée est étroitement liée aux chaînes démontrées en mai lors du concours de piratage Pwn2Own à Berlin pour deux vulnérabilités distinctes. Les vulnérabilités exploitées, identifiées comme CVE-2025-49704 et CVE-2025-49706, ont été partiellement corrigées il y a deux semaines dans la mise à jour mensuelle de Microsoft. Les correctifs de ce week-end pour CVE-2025-53770 et CVE-2025-53771 incluent des « protections plus robustes » pour CVE-2025-49704 et CVE-2025-49706, respectivement, a déclaré Microsoft.


L'émergence de la menace ToolShell

Les chercheurs en sécurité d'Eye Security, une société de cybersécurité basée aux Pays-Bas, ont été parmi les premiers à détecter une « exploitation à grande échelle » le 18 juillet 2025, avant la divulgation publique de Microsoft. Cette détection rapide par la communauté de la sécurité souligne le besoin critique de capacités de surveillance proactive contre les menaces sophistiquées et en évolution rapide.

Les chercheurs ont déclaré avoir trouvé « des dizaines de systèmes activement compromis au cours de deux vagues d'attaques, le 18 juillet vers 18h00 UTC et le 19 juillet vers 07h30 UTC ». Les systèmes, dispersés dans le monde entier, ont été piratés à l'aide de la vulnérabilité exploitée, puis infectés par une porte dérobée basée sur Webshell, appelée ToolShell. Les chercheurs d'Eye Security ont déclaré que la porte dérobée était capable d'accéder aux parties les plus sensibles d'un serveur SharePoint et, à partir de là, d'extraire des jetons qui leur permettaient d'exécuter un code qui permettait aux attaquants d'étendre leur portée à l'intérieur des réseaux.

« Il ne s'agissait pas d'un webshell classique », écrivent les chercheurs d'Eye Security. « Il n'y avait pas de commandes interactives, de shells inversés ou de logique de commande et de contrôle. Au lieu de cela, la page invoquait des méthodes .NET internes pour lire la configuration MachineKey du serveur SharePoint, y compris la ValidationKey. Ces clés sont essentielles pour générer des charges utiles __VIEWSTATE valides, et le fait d'y accéder transforme effectivement toute requête SharePoint authentifiée en une opportunité d'exécution de code à distance ».

En accédant à ces serveurs, qui se connectent souvent à la messagerie Outlook, à Teams et à d'autres services de base, une brèche peut conduire au vol de données sensibles ainsi qu'à la collecte de mots de passe, a noté la société de recherche Eye Security. Ce qui est également alarmant, selon les chercheurs, c'est que les pirates ont eu accès à des clés qui peuvent leur permettre d'entrer à nouveau dans un système même après l'application d'un correctif.

« Le fait de publier un correctif lundi ou mardi n'aide donc pas les personnes qui ont été compromises au cours des 72 dernières heures », a déclaré un chercheur, qui a parlé sous le couvert de l'anonymat parce qu'une enquête fédérale est en cours.

Le piratage du serveur de Microsoft a touché une centaine d'organisations, selon des chercheurs

Qualifiés de zero-day parce qu'ils exploitent une faiblesse numérique non divulguée auparavant, ces piratages permettent aux espions de pénétrer dans des serveurs vulnérables et de déposer potentiellement une porte dérobée afin de garantir un accès continu aux organisations victimes.

Vaisha Bernard, hacker en chef chez Eye Security, qui a découvert vendredi la campagne de piratage visant l'un de ses clients, a déclaré qu'un balayage Internet effectué avec la Shadowserver Foundation avait permis de découvrir près de 100 victimes au total (et ce avant que la technique à l'origine du piratage ne soit largement connue). « C'est sans ambiguïté », a déclaré Bernard. « Qui sait ce que d'autres attaquants ont fait depuis pour placer d'autres portes dérobées ? »

Il a refusé d'identifier les organisations touchées, précisant que les autorités nationales compétentes avaient été informées.

La Shadowserver Foundation a confirmé le chiffre de 100. Elle a indiqué que la plupart des organisations touchées se trouvaient aux États-Unis et en Allemagne, et que des organisations gouvernementales figuraient parmi les victimes.

Un autre chercheur a déclaré que, jusqu'à présent, l'espionnage semblait être le fait d'un seul pirate ou d'un groupe de pirates. « Il est possible que cela change rapidement », a déclaré Rafe Pilling, directeur de Threat Intelligence chez Sophos, une société britannique de cybersécurité.

Microsoft a déclaré avoir « fourni des mises à jour de sécurité et encourage les clients à les installer », a déclaré un porte-parole de la société dans un communiqué.

L'identité de l'auteur du piratage en cours n'est pas clairement établie, mais Alphabet, qui dispose d'une visibilité sur de larges pans du trafic internet, a déclaré qu'elle reliait au moins une partie des piratages à un « acteur malveillant lié à la Chine ».

Le nombre de cibles potentielles reste important

Le FBI a déclaré dimanche qu'il était au courant des attaques et qu'il travaillait en étroite collaboration avec ses partenaires fédéraux et privés, mais il n'a pas donné d'autres détails. Le Centre national de cybersécurité britannique a déclaré dans un communiqué qu'il avait connaissance d'un « nombre limité » de cibles au Royaume-Uni. Un chercheur qui suit la campagne a déclaré qu'elle semblait viser initialement un nombre restreint d'organisations liées au gouvernement.

Selon les données de Shodan, un moteur de recherche qui aide à identifier les équipements liés à l'internet, plus de 8 000 serveurs en ligne pourraient théoriquement avoir déjà été compromis par des pirates. Shadowserver estime ce nombre à un peu plus de 9 000, tout en précisant qu'il s'agit d'un minimum. Parmi ces serveurs figurent de grandes entreprises industrielles, des banques, des auditeurs, des sociétés de soins de santé et plusieurs entités gouvernementales américaines et internationales.

« L'incident SharePoint semble avoir créé un large niveau de compromission sur toute une série de serveurs dans le monde entier », a déclaré Daniel Card, de la société britannique de conseil en cybersécurité PwnDefend. « Il est sage d'adopter une approche fondée sur l'hypothèse d'une violation, et il est également important de comprendre que l'application d'un correctif n'est pas la seule chose à faire dans ce cas ».

L'attaque zero-day n'est que le dernier embarras en date de Microsoft en matière de cybersécurité.

L'année dernière, l'entreprise a été mise en cause par un groupe d'experts du gouvernement américain et de l'industrie pour des lacunes qui ont permis un piratage chinois ciblé en 2023 des courriels du gouvernement américain, y compris ceux de la secrétaire au commerce de l'époque, Gina Raimondo.

L'attaque la plus récente ne compromet que les serveurs hébergés au sein d'une organisation, et non ceux qui sont hébergés dans le cloud, comme Microsoft 365, ont indiqué les responsables de l'entreprise. Après avoir d'abord suggéré aux utilisateurs de modifier les programmes du serveur SharePoint ou de les débrancher d'Internet, l'entreprise a publié dimanche soir un correctif pour une version du logiciel. Deux autres versions restent vulnérables et Microsoft a déclaré qu'elle continuait à travailler à la mise au point d'un correctif. L'entreprise n'a pas souhaité faire d'autres commentaires.

« Tous ceux qui ont un serveur SharePoint hébergé ont un problème », a déclaré Adam Meyers, vice-président principal de CrowdStrike, une société de cybersécurité. « Il s'agit d'une vulnérabilité importante ».

« Nous constatons des tentatives d'exploitation de milliers de serveurs SharePoint dans le monde entier avant qu'un correctif ne soit disponible », a déclaré Pete Renals, responsable de l'unité 42 de Palo Alto Networks. « Nous avons identifié des dizaines d'organisations compromises dans les secteurs commercial et gouvernemental ».

Eye Security a déclaré avoir repéré plus de 50 brèches, notamment dans une entreprise énergétique d'un grand État et dans plusieurs agences gouvernementales européennes. Au moins deux agences fédérales américaines ont vu leurs serveurs violés, selon les chercheurs, qui ont déclaré que les accords de confidentialité avec les victimes les empêchaient de nommer les cibles.

Un fonctionnaire d'un État de l'est des États-Unis a déclaré que les attaquants avaient « détourné » un répertoire de documents mis à la disposition du public pour aider les habitants à comprendre le fonctionnement de leur gouvernement. L'agence concernée ne peut plus accéder à ces documents, mais il n'a pas été précisé s'ils avaient été supprimés.

« Nous devrons remettre ces documents à disposition dans un autre dépôt », a déclaré le fonctionnaire, qui s'est exprimé sous couvert d'anonymat pour discuter d'une situation en cours d'évolution.

Sources : Microsoft (1, 2), CISA, Eye Security, Qualys, National Cyber Security Center

Et vous ?

Quelle lecture faites-vous de cette situation ?

La centralisation des outils numériques autour d’un nombre réduit de fournisseurs (comme Microsoft) constitue-t-elle une menace pour la résilience numérique ?

Qui porte la responsabilité en cas d’exploitation d’une faille comme CVE-2025-53770 : l’éditeur, l’administrateur, ou l’organisation cliente ?

Le rapport souligne que les protections d'identité comme la MFA et le SSO sont contournées par cette vulnérabilité. Comment cela devrait-il influencer la stratégie de sécurité globale des entreprises, en particulier en ce qui concerne la défense en profondeur et la sécurité au niveau des applications?

Au-delà de l'application des correctifs, quelles sont les mesures les plus critiques que les organisations doivent prendre immédiatement pour s'assurer qu'elles ne sont pas encore vulnérables, notamment en ce qui concerne la rotation des clés de machine?