Attention pour les entreprises utilisant les versions de SharePoint sur site. Microsoft a confirmé que des vulnérabilités (CVE-2025-53770 - critique - et CVE-2025-53771) sont activement exploitées dans la nature. Le groupe de Redmond publie désormais des mises à jour de sécurité pour SharePoint Server 2016, SharePoint Server 2019 et SharePoint Subscription Edition.
La situation est tendue, dans la mesure où les premières tentatives d'exploitation remonteraient au 7 juillet 2025, bien avant que la menace ne soit publiquement connue. Il est à souligner que les utilisateurs de SharePoint Online via Microsoft 365 ne sont pas affectés.
Des groupes d'attaquants chinois déjà à l'œuvre
Derrière ces attaques, des noms bien connus des spécialistes en cybersécurité. Microsoft a identifié trois groupes basés en Chine : Linen Typhoon, Violet Typhoon et Storm-2603.
Linen Typhoon et Violet Typhoon sont des acteurs étatiques spécialisés dans le cyberespionnage et le vol de propriété intellectuelle, visant des secteurs aussi variés que la défense, les ONG ou la finance. Storm-2603 a déjà été associé au déploiement de ransomwares comme Warlock et Lockbit.
Avec une grande confiance, Microsoft estime que « les acteurs de la menace continueront à intégrer les exploits dans leurs attaques contre les systèmes SharePoint sur site non corrigés ». Une menace qui devrait ainsi perdurer, avec déjà au compteur des dizaines d'organisations qui auraient été compromises.
Comment fonctionne l'attaque ?
Les attaquants ciblent un point d'entrée spécifique de SharePoint (le point de terminaison ToolPane) pour contourner l'authentification et exécuter du code à distance.
Une fois à l'intérieur, leur principal objectif est d'installer un web shell. Ce petit programme malveillant, souvent nommé spinstall0.aspx, agit comme une porte dérobée permanente sur le serveur.
Le web shell permet de lancer des commandes, mais surtout de voler les clés de chiffrement MachineKey du serveur. La possession de ces clés donne aux attaquants un accès quasi total pour dérober des données, récolter des mots de passe et se déplacer sur les services connectés.
Protéger votre serveur : les mesures urgentes
Face à cette menace, la réactivité est la meilleure défense. La première action à mener sans délai est de mettre à jour les serveurs SharePoint concernés avec les derniers correctifs fournis par Microsoft. Mais cela ne suffit pas toujours. Pour une protection complète, plusieurs étapes sont recommandées.
Il faut s'assurer que l'interface d'analyse anti-programmes malveillants (AMSI) est activée et correctement configurée. Cette technologie, intégrée par défaut dans les mises à jour récentes, peut bloquer les attaques non authentifiées. Si l'activation d'AMSI n'est pas possible, il est conseillé d'isoler le serveur d'Internet jusqu'à ce que la mise à jour soit appliquée.
Enfin, deux actions sont à réaliser après l'application du correctif. Procéder à une rotation des clés machine ASP.NET de SharePoint et redémarrer les services Internet (IIS) sur tous les serveurs.
Microsoft ajoute que le déploiement de solutions de détection et de réponse, comme Microsoft Defender for Endpoint, complète le dispositif de défense pour repérer toute activité suspecte post-exploitation.
