Vulnérabilités SharePoint : les correctifs sont là, mais leur application seule ne suffit pas

Les correctifs pour les vulnérabilités CVE-2025-53770 et CVE-2025-53771 sont désormais disponibles pour SharePoint Server 2019, SharePoint Enterprise Server 2016, et SharePoint Server Subscription Edition.

Leur application n’est pas suffisante et une rotation des secrets s’avère indispensable en cas de soupçon de compromission, voire en cas de compromission avérée.

Selon les constatations d’Onyphe.io, près de 140 instances SharePoint Server ont déjà été compromises à travers le monde, sur plus de 11 000 exposées sur Internet.

L’exploitation déjà observée des vulnérabilités en question renvoie à des groupes liés à la Chine. Dans un billet de blog, Microsoft pointe vers Linen Typhoon, Violet Typhoon, et Storm-2603.

C’est le 18 juillet au soir que les équipes d’Eye Security ont commencé à observer un phénomène inquiétant : « l’exploitation à grande échelle d’une nouvelle chaîne de vulnérabilités affectant SharePoint, jusqu’à l’exécution de code arbitraire à distance (RCE) ».

Ces deux vulnérabilités sont référencées CVE-2025-53770 et CVE-2025-53771. Elles sont non seulement inédites, mais également toutes fraîches : elles permettent de contourner les mécanismes mis en place par Microsoft, lors de son patch Tuesday de juillet, pour corriger deux vulnérabilités affectant SharePoint avec les mêmes effets.

Ces deux vulnérabilités, les CVE-2025-49704 et CVE-2025-49706, sont connues depuis le mois de mai dernier. C’est à ce moment-là, lors de la compétition Pwn2Own, au cours de la conférence OffensiveCon de Berlin, qu’avait été démontrée leur exploitation, par Dinh Ho Anh Khoa de Viettel Cyber Security. Ce qui lui a valu une récompense de 100 000 $. Les équipes de Code White GmbH ont reproduit le processus, surnommé « ToolShell », le 14 juillet.

Le code d’exploitation des vulnérabilités CVE-2025-53770 et CVE-2025-53771 est désormais public, de même qu’une liste de près de 60 instances SharePoint Server compromises, et les détails sur le webshell qui y a été déposé. Mais pas l’un de ceux qui permettent de contrôler directement un serveur Web compromis : la clé d’exécution de code arbitraire à distance.

Les équipes d’Eye Security sont formelles : « l’exploitation est systémique ». Autrement dit, tous les serveurs SharePoint déployés on-prem et exposés sur Internet sont visés. Et pour l’heure, tous les correctifs ne sont pas encore disponibles : seulement ceux pour SharePoint Server Subscription Edition et SharePoint Server 2019.

Eye Security fournit des recommandations d’urgence : isoler ou arrêter les serveurs SharePoint affectés ; renouveler toutes les informations d’identification et les secrets système qui auraient pu être exposés via l’ASPX malveillant ; faire appel à votre équipe d’intervention en cas d’incident ou à une entreprise de cybersécurité de confiance. Car « le temps est un facteur critique ».

Article publié initialement le 21 juillet 2025 à 16h46. Mis à jour le 22 juillet 2025 avec des informations additionnelles sur les correctifs disponibles, leur application, le nombre d’organisations compromises à travers le monde, et les premiers éléments d’attribution de la campagne en cours.