Avis sur les menaces de cybersécurité : la vulnérabilité zero-day de Microsoft SharePoint

Les pirates exploitent activement la CVE-2025-53770, une vulnérabilité critique zero-day dans Microsoft SharePoint, pour exécuter du code à distance sans authentification. Cette faille leur permet de déployer des malwares persistants et d'exfiltrer potentiellement des données sensibles à partir d'environnements sur site non corrigés. Consultez tous les détails dans cet avis de menace de cybersécurité afin d'empêcher une quelconque exploitation de votre environnement.

Nature de la menace

Découverte tout récemment, la CVE-2025-53770 est une vulnérabilité zero-day qui affecte les serveurs Microsoft SharePoint sur site, couramment utilisés pour la collaboration interne et le partage de fichiers. Cette faille fait partie des vulnérabilités de type RCE car elle permet aux pirates d'exécuter du code malveillant sur les serveurs affectés, sans aucune authentification ni accès spécial requis.

Les serveurs SharePoint deviennent souvent vulnérables en raison de correctifs manquants, de mauvaises configurations critiques ou de l'exposition des services connectés à Internet. En tant que vulnérabilité zero-day, cette faille a été activement exploitée avant que Microsoft ne publie un correctif, et de nombreux systèmes ont été temporairement exposés.

Les pirates profitent de cette lacune en envoyant des requêtes HTTP spécialement conçues aux serveurs vulnérables, qui les incitent à exécuter des codes arbitraires. Cela peut entraîner l'installation d'une porte dérobée, l'exfiltration de données ou des déplacements latéraux sur le réseau.

Les indicateurs de compromission sont les suivants :

• Shell web malveillant spinstall0.aspx dans le répertoire SharePoint Layouts
• Requêtes POST inhabituelles vers ToolPane.aspx
• Processus de travail IIS (w3wp.exe) générant des processus PowerShell ou CMD
• Utilisation élevée du CPU
• Trafic réseau sortant suspect

Pourquoi est-ce important ?

Cette vulnérabilité est activement exploitée dans le cadre d'une campagne mondiale de cyberespionnage touchant plus de 100 organisations. En cas d'exploitation réussie, les pirates peuvent voler des clés de chiffrement, obtenir un accès persistant et contourner les contrôles de sécurité classiques, le tout sans être détectés.

Bien que Microsoft ait publié des correctifs, nombre d'organisations restent vulnérables en raison d'un déploiement tardif de ces correctifs ou d'une atténuation incomplète. Microsoft a corrigé les vulnérabilités associées – CVE-2025-49706 et CVE-2025-49704 – plus tôt ce mois-ci. Toutefois, les pirates ont déjà mis au point des solutions de contournement, ce qui souligne la rapidité et la sophistication des acteurs malveillants d'aujourd'hui.

Même les organisations qui n'utilisent pas directement SharePoint sont menacées. Les serveurs SharePoint compromis peuvent être utilisés pour des attaques contre les chaînes logistiques qui affectent potentiellement les partenaires, les fournisseurs et les clients, et peuvent amplifier la menace dans l'ensemble des écosystèmes.

Quel est le risque ou le degré d'exposition ?

L'exploitation de la vulnérabilité CVE-2025-53770 permet aux pirates d'obtenir un accès à distance non autorisé, d'exécuter du code malveillant, de voler des données sensibles, et potentiellement de perturber des opérations métier critiques. Les conséquences dépassent la simple compromission technique. Les organisations victimes peuvent faire l'objet de contrôles réglementaires et recevoir des amendes, encourir une responsabilité juridique, subir une atteinte à leur image de marque et à leur réputation, connaître une interruption de leurs activités, et devoir mettre en œuvre des mesures de réponse aux incidents et de reprise après sinistre.

Un serveur SharePoint piraté peut également être exploité pour de nouvelles intrusions réseau, avec augmentation des risques de ransomware, d'espionnage ou de vol de propriété intellectuelle. Une détection et une atténuation rapides sont indispensables pour prévenir ces effets en cascade.

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour vous protéger contre cette menace :

• Appliquez les mises à jour d'urgence suivantes pour Microsoft SharePoint :
  • Mises à jour KB5002754 pour Microsoft SharePoint Server 2019 Core et KB5002753 pour le module linguistique de Microsoft SharePoint Server 2019
  • Mises à jour KB5002760 pour Microsoft SharePoint Enterprise Server 2016 et KB5002759 pour le module linguistique Microsoft SharePoint Enterprise Server 2016
  • Mise à jour KB5002768 pour Microsoft SharePoint Subscription Edition
• Faites pivoter les clés des machines SharePoint après la mise à jour :
  • Manuellement, par le biais de PowerShell : pour mettre à jour les clés machine d'une application web à l'aide de PowerShell et les déployer sur une ferme SharePoint :
    • Générez la clé machine dans PowerShell en utilisant Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind> ;
    • Déployez la clé machine sur la ferme dans PowerShell en utilisant Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
  • Manuellement, par le biais de l'administration centrale : déclenchez le travail du minuteur de rotation des clés machine en suivant les étapes suivantes :
    • Accédez au site de l'administration centrale ;
    • Accédez à Surveillance -> Examiner la définition du travail ;
    • Recherchez le travail Rotation des clés machine et sélectionnez « Exécuter maintenant » ;
    • Une fois la rotation terminée, redémarrez IIS sur tous les serveurs SharePoint à l'aide de iisreset.exe.
• Analysez les journaux et le système de fichiers pour détecter la présence de fichiers malveillants ou de tentatives d'exploitation, notamment :
  • Création du fichier C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
  • Journaux IIS indiquant une requête POST vers _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx et referer HTTP de _layouts/SignOut.aspx
  • Exécutez la requête Microsoft 365 Defender suivante pour vérifier si le fichier spinstall0.aspx a été créé sur votre serveur :
    • eviceFileEvents
    • | pour laquelle le chemin d'accès au dossier contient « MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS »
    • | where FileName =~ « spinstall0.aspx »
    • pour laquelle le nom de fichier contient « spinstall0 »
    • | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
    • | tri par horodatage décroissant
• Limitez autant que possible l'exposition des serveurs SharePoint à Internet. Utilisez des pare-feux, des VPN ou des contrôles d'accès Zero Trust pour limiter l'accès aux seuls utilisateurs et réseaux de confiance.
• Activez la journalisation détaillée et surveillez l'activité du serveur SharePoint pour détecter tout comportement inhabituel, par exemple des chargements ou des modifications inattendus de fichiers, des connexions en provenance d'adresses IP inconnues.
• Isolez les serveurs SharePoint des autres systèmes internes critiques afin de réduire le risque de déplacement latéral si un pirate parvenait à y accéder.
• Sensibilisez le personnel à cette vulnérabilité et renforcez les meilleures pratiques en matière d'application des correctifs et de maintenance des configurations sécurisées.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

•  https://www.bleepingcomputer.com/news/microsoft/microsoft-sharepoint-zero-day-exploited-in-rce-attacks-no-patch-available/
• https://www.reuters.com/sustainability/boards-policy-regulation/microsoft-server-hack-hit-about-100-organizations-researchers-say-2025-07-21/
• https://www.cve.org/CVERecord?id=CVE-2025-53770
•  https://www.picussecurity.com/resource/blog/cve-2025-53770-critical-unauthenticated-rce-in-microsoft-sharepoint