Un vent de panique souffle sur les infrastructures informatiques mondiales. Une faille critique de type zero day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales. Les attaques exploitant cette vulnérabilité ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, telles que les clés de machine ASP.NET, qui pourraient permettre d'autres attaques, telles que la falsification de jetons d'authentification ou l'accès persistant.
Les autorités et les chercheurs tirent la sonnette d'alarme face à l'exploitation massive et active d'une vulnérabilité critique dans Microsoft SharePoint Server, qui permet aux attaquants de s'emparer de données sensibles d'entreprises, notamment des jetons d'authentification utilisés pour accéder aux systèmes à l'intérieur des réseaux. Les chercheurs ont déclaré que toute personne utilisant une instance de SharePoint sur site devrait supposer que son réseau a été violé.
La vulnérabilité, répertoriée sous le nom de CVE-2025-53770, a une note de gravité de 9,8 sur 10, ce qui indique sa nature grave et sa facilité d'exploitation. Elle permet un accès à distance non authentifié aux serveurs SharePoint exposés à Internet. Depuis vendredi, les chercheurs ont commencé à signaler l'exploitation active de cette vulnérabilité, qui affecte les serveurs SharePoint exploités en interne par les clients de l'infrastructure. SharePoint Online et Microsoft 365, hébergés dans le cloud de Microsoft, ne sont pas concernés.
Samedi, Microsoft a confirmé les attaques s'appuyant sur cette faille qui était encore zero day. Un jour plus tard, l'entreprise a mis à jour le message pour mettre à disposition une mise à jour d'urgence corrigeant la vulnérabilité, ainsi qu'une vulnérabilité connexe répertoriée sous le nom de CVE-2025-53771, dans SharePoint Subscription Edition et SharePoint 2019. Les clients qui utilisent l'une ou l'autre de ces versions doivent appliquer les mises à jour immédiatement :
Envoyé par Microsoft
Microsoft a connaissance d'attaques actives ciblant des clients SharePoint Server sur site et exploitant des vulnérabilités partiellement corrigées par la mise à jour de sécurité de juillet.
Microsoft a publié des mises à jour de sécurité qui protègent entièrement les clients utilisant toutes les versions prises en charge de SharePoint affectées par CVE-2025-53770 et CVE-2025-53771. Les clients doivent appliquer ces mises à jour immédiatement pour s'assurer qu'ils sont protégés.
Ces vulnérabilités s'appliquent uniquement aux serveurs SharePoint sur site. SharePoint Online dans Microsoft 365 n'est pas concerné.
Les mises à jour de sécurité de SharePoint sont cumulatives. Si vous appliquez les dernières mises à jour de sécurité liées ici, vous n'avez pas besoin d'appliquer les mises à jour précédentes. Cependant, les deux mises à jour pour SharePoint 2016 et 2019 doivent être appliquées.
Microsoft a publié des mises à jour de sécurité qui protègent entièrement les clients utilisant toutes les versions prises en charge de SharePoint affectées par CVE-2025-53770 et CVE-2025-53771. Les clients doivent appliquer ces mises à jour immédiatement pour s'assurer qu'ils sont protégés.
Ces vulnérabilités s'appliquent uniquement aux serveurs SharePoint sur site. SharePoint Online dans Microsoft 365 n'est pas concerné.
Les mises à jour de sécurité de SharePoint sont cumulatives. Si vous appliquez les dernières mises à jour de sécurité liées ici, vous n'avez pas besoin d'appliquer les mises à jour précédentes. Cependant, les deux mises à jour pour SharePoint 2016 et 2019 doivent être appliquées.
L'émergence de la menace ToolShell
Les chercheurs en sécurité d'Eye Security, une société de cybersécurité basée aux Pays-Bas, ont été parmi les premiers à détecter une « exploitation à grande échelle » le 18 juillet 2025, avant la divulgation publique de Microsoft. Cette détection rapide par la communauté de la sécurité souligne le besoin critique de capacités de surveillance proactive contre les menaces sophistiquées et en évolution rapide.
Les chercheurs ont déclaré avoir trouvé « des dizaines de systèmes activement compromis au cours de deux vagues d'attaques, le 18 juillet vers 18h00 UTC et le 19 juillet vers 07h30 UTC ». Les systèmes, dispersés dans le monde entier, ont été piratés à l'aide de la vulnérabilité exploitée, puis infectés par une porte dérobée basée sur Webshell, appelée ToolShell. Les chercheurs d'Eye Security ont déclaré que la porte dérobée était capable d'accéder aux parties les plus sensibles d'un serveur SharePoint et, à partir de là, d'extraire des jetons qui leur permettaient d'exécuter un code qui permettait aux attaquants d'étendre leur portée à l'intérieur des réseaux.
« Il ne s'agissait pas d'un webshell classique », écrivent les chercheurs d'Eye Security. « Il n'y avait pas de commandes interactives, de shells inversés ou de logique de commande et de contrôle. Au lieu de cela, la page invoquait des méthodes .NET internes pour lire la configuration MachineKey du serveur SharePoint, y compris la ValidationKey. Ces clés sont essentielles pour générer des charges utiles __VIEWSTATE valides, et le fait d'y accéder transforme effectivement toute requête SharePoint...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
