Failles Microsoft SharePoint : des attaques zero-day menacent les serveurs d'entreprises et gouvernementaux

Génération NT / Actualités / Failles Microsoft SharePoint : des attaques zero-day menacent les serveurs d'entreprises et gouvernementaux

Publié le 21 juillet 2025 à 12:10 par Mathieu M.

C'est une alerte majeure que Microsoft vient de lancer : des "attaques actives" ciblent son logiciel serveur SharePoint, largement utilisé par les entreprises et les agences gouvernementales pour le partage de documents en interne. Le FBI a déjà confirmé suivre de près ces agressions numériques. Au cœur du problème, des vulnérabilités critiques, baptisées CVE-2025-53770 et CVE-2025-53771, permettent à des pirates d'exécuter du code à distance sans même avoir besoin d'authentification. Une course contre la montre s'engage pour sécuriser des milliers de serveurs à travers le monde.

La firme de Redmond a clairement mis en garde : les failles ne touchent que les serveurs SharePoint hébergés sur site. Bonne nouvelle pour les utilisateurs de SharePoint Online dans Microsoft 365, la version cloud reste, elle, totalement épargnée par ces attaques. Les vulnérabilités en question, dont la principale est suivie sous l'identifiant CVE-2025-53770 (avec un score CVSS de 9.8, ce qui est quasi maximal en termes de gravité), sont en réalité des "variantes" ou des contournements de correctifs déjà déployés en juillet 2025 par le géant de la technologie. En clair : les pirates ont trouvé de nouvelles portes d'entrée malgré les premières tentatives de colmatage.

Qu'est-ce que ces failles permettent aux attaquants ?

Le diable se cache dans les détails : ces failles exploitent spécifiquement la manière dont SharePoint gère la "désérialisation de données non fiables". Pour faire simple, cela permet à un attaquant non autorisé d'injecter et d'exécuter des commandes à distance, et ce, avant même toute authentification. Une fois à l'intérieur, les cybercriminels peuvent, en volant les clés de machine des serveurs, créer de fausses charges utiles qui semblent légitimes. Cela leur assure une persistance sur le système et la capacité de se déplacer latéralement dans le réseau, le tout en se fondant dans l'activité SharePoint normale. Autant dire que les détecter relève de la gageure sans une visibilité extrême sur les points d'extrémité.

L'alerte de Microsoft, émise le 19 juillet 2025, est le fruit d'une découverte par Viettel Cyber Security, signalée via la Zero Day Initiative (ZDI) de Trend Micro. Le géant de Washington a confirmé travailler activement sur une mise à jour exhaustive pour résoudre ces problèmes. En attendant le patch officiel, Microsoft a urgemment conseillé à ses clients de configurer l'intégration de l'Antimalware Scan Interface (AMSI) dans SharePoint et de déployer Defender AV sur tous les serveurs concernés. Pour ceux qui ne peuvent pas activer l'AMSI, la recommandation est radicale : déconnecter purement et simplement le serveur SharePoint d'Internet jusqu'à ce qu'un correctif de sécurité soit disponible. Déployer Defender for Endpoint est également une couche de protection supplémentaire pour détecter et bloquer les activités post-exploitation.

Comment les attaquants s'y prennent-ils et quelles sont les conséquences ?

Des entreprises comme Eye Security et Palo Alto Networks Unit 42 ont déjà tiré la sonnette d'alarme, identifiant des attaques exploitant une chaîne de vulnérabilités, baptisée "ToolShell". Cette chaîne combine notamment la CVE-2025-49706 (une faille de "spoofing" dans SharePoint) avec la CVE-2025-49704, pour permettre l'exécution de commandes arbitraires.
La CVE-2025-53770 étant une "variante" de la CVE-2025-49704, on suspecte fortement un lien entre ces différentes campagnes. L'activité malveillante se résume souvent à l'envoi de charges utiles ASPX via PowerShell, afin de dérober la configuration "MachineKey" du serveur SharePoint (incluant les clés de validation et de décryptage). Ces clés sont vitales pour générer des charges utiles __VIEWSTATE valides, transformant ainsi n'importe quelle requête SharePoint authentifiée en une opportunité d'exécution de code à distance.

Piet Kerkhofs, le CTO d'Eye Security, explique : de vastes campagnes d'attaques sont en cours. Les pirates, d'une rapidité déconcertante, exploitent cette faille pour s'infiltrer et se propager au sein des réseaux informatiques. À ce jour, plus de 85 serveurs SharePoint à travers le monde ont été identifiés comme compromis, touchant 29 organisations, y compris des multinationales et des entités gouvernementales. Le danger est que même après un patch, si les secrets cryptographiques (les clés volées) ne sont pas renouvelés, les organisations restent vulnérables. C'est pourquoi la CISA (Cybersecurity and Infrastructure Security Agency) américaine a également émis une alerte, soulignant l'importance de la réactivité et de la collaboration entre la communauté de la recherche, les fournisseurs de technologie et les agences gouvernementales. Microsoft a depuis confirmé avoir publié un patch pour la CVE-2025-53770 et une nouvelle faille, la CVE-2025-53771, cette dernière offrant plus de protections que la CVE-2025-49706. Cela indique la découverte de deux nouvelles zero-days, qui contournent les correctifs initiaux du mois.

Que doivent faire les organisations et à quoi s'attendre ?

Face à cette menace persistante, la première et la plus urgente des actions est d'appliquer les mises à jour de sécurité dès qu'elles sont disponibles. Microsoft a réagi en publiant les correctifs pour CVE-2025-53770 et CVE-2025-53771. Au-delà des correctifs immédiats, les organisations doivent impérativement réinitialiser leurs "MachineKeys" si elles suspectent une compromission, car les attaquants peuvent maintenir un accès même après l'application du patch si ces clés ne sont pas changées. Le déploiement de solutions de détection et de réponse aux endpoints (EDR) comme Defender for Endpoint est crucial pour identifier les activités post-exploitation qui se fondent dans le trafic légitime. La vigilance est de mise : ces événements soulignent l'importance d'une stratégie de cybersécurité multicouche, ne se limitant pas aux seules mises à jour, mais incluant une surveillance continue, une réponse rapide aux incidents, et une attention particulière aux recommandations des agences de sécurité. La collaboration et le partage d'informations entre les entités privées et gouvernementales sont devenus les meilleurs remparts contre des menaces toujours plus sophistiquées. Les entreprises et les gouvernements doivent rester à l'affût, car ces failles sont un rappel brutal que la guerre numérique est une bataille constante, exigeant une adaptabilité et une réactivité à toute épreuve.

Foire Aux Questions (FAQ)

Qu'est-ce qu'une vulnérabilité "zero-day" ?

Une vulnérabilité "zero-day" est une faille de sécurité qui vient d'être découverte et qui n'a pas encore été corrigée par l'éditeur du logiciel, ou pour laquelle aucun correctif n'est publiquement disponible. Elle est "zero-day" car les développeurs ont "zéro jour" pour la corriger avant qu'elle ne soit potentiellement exploitée. Les attaquants peuvent l'utiliser avant que les défenses ne soient mises en place, ce qui la rend particulièrement dangereuse.

SharePoint Online est-il également affecté par ces attaques ?

Non, Microsoft a explicitement déclaré que seules les versions de Microsoft SharePoint Server installées sur site (on-premises) sont touchées par ces vulnérabilités. SharePoint Online, qui fait partie de Microsoft 365 et est hébergé dans le cloud, n'est pas impacté par ces attaques spécifiques.

Que faire si mon serveur SharePoint est vulnérable ?

Si votre serveur SharePoint est une version sur site et donc potentiellement vulnérable, Microsoft recommande d'appliquer immédiatement les dernières mises à jour de sécurité (les patchs CVE-2025-53770 et CVE-2025-53771). En attendant, ou si vous ne pouvez pas les appliquer rapidement, il est conseillé de configurer l'intégration de l'Antimalware Scan Interface (AMSI) et de déployer Defender AV, voire de déconnecter le serveur d'Internet si l'AMSI ne peut être activée. La rotation des "MachineKeys" est cruciale si une compromission est suspectée.

Mathieu M.

Journaliste GNT spécialisé imprimantes 3D et nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire