LALAKA - stock.adobe.com

Actualites

SharePoint : une campagne massive d’exploitation de vulnérabilités inédites

Depuis au moins vendredi soir dernier, deux vulnérabilités apparaissent exploitées de manière systémique contre les instances SharePoint Server on-prem exposées sur Internet.

Valéry Rieß-Marchive
par
Publié le: 21 juil. 2025

C’est le 18 juillet au soir que les équipes d’Eye Security ont commencé à observer un phénomène inquiétant : « l’exploitation à grande échelle d’une nouvelle chaîne de vulnérabilités affectant SharePoint jusqu’à l’exécution de code arbitraire à distance (RCE) ».

Ces deux vulnérabilités sont référencées CVE-2025-53770 et CVE-2025-53771. Elles sont non seulement inédites, mais également toutes fraîches : elles permettent de contourner les mécanismes mis en place par Microsoft, lors de son patch Tuesday de juillet, pour corriger deux vulnérabilités affectant SharePoint avec les mêmes effets.

Ces deux vulnérabilités, les CVE-2025-49704 et CVE-2025-49706, sont connues depuis le mois de mai dernier. C’est à ce moment-là, lors de la compétition Pwn2Own, au cours de la conférence OffensiveCon de Berlin, qu’avait été démontrée leur exploitation, par Dinh Ho Anh Khoa de Viettel Cyber Security. Ce qui lui a valu une récompense de 100 000 $. Les équipes de Code White GmbH ont reproduit le processus, surnommé « ToolShell », le 14 juillet.

Le code d’exploitation des vulnérabilités CVE-2025-53770 et CVE-2025-53771 est désormais public, de même qu’une liste de près de 60 instances SharePoint Server compromises, et les détails sur le webshell qui y a été déposé. Mais pas l’un de ceux qui permettent de contrôler directement un serveur Web compromis : la clé d’exécution de code arbitraire à distance.

Les équipes d’Eye Security sont formelles : « l’exploitation est systémique ». Autrement dit, tous les serveurs SharePoint déployés on-prem et exposés sur Internet sont visés. Et pour l’heure, tous les correctifs ne sont pas encore disponibles : seulement ceux pour SharePoint Server Subscription Edition et SharePoint Server 2019.

Eye Security fournit des recommandations d’urgence : isoler ou arrêter les serveurs SharePoint affectés ; renouveler toutes les informations d’identification et les secrets système qui auraient pu être exposés via l’ASPX malveillant ; faire appel à votre équipe d’intervention en cas d’incident ou à une entreprise de cybersécurité de confiance. Car « le temps est un facteur critique ».

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)