Deux vulnérabilités critiques affectent Microsoft SharePoint, dont l’une déjà utilisée dans des attaques ciblées. Toutes deux contournent les correctifs de juillet et pourraient réactiver une chaîne d’exploitation présentée à Pwn2Own.
- Deux failles sérieuses dans SharePoint permettent l'exécution de code à distance, l'une déjà exploitée activement.
- Microsoft a publié des correctifs urgents pour SharePoint 2019 et Subscription Edition, mais pas encore pour 2016.
- Les utilisateurs doivent activer AMSI et régénérer les clés ASP.NET pour renforcer la sécurité des serveurs.
Deux nouvelles failles extrêmement sérieuses dans Microsoft SharePoint (CVE-2025-53770 et CVE-2025-53771) font actuellement l’objet d’une alerte générale. La première (CVSS 9.8), exploitée en conditions réelles depuis le 18 juillet, permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur les versions on-premise du produit (SharePoint Online n’étant pas concerné), et a été ajoutée au catalogue des menaces actives tenu par la CISA. La seconde, bien que documentée et corrigée, n’a pas encore été observée dans la nature. Microsoft a publié des correctifs hors cycle pour SharePoint 2019 et Subscription Edition, mais les utilisateurs et utilisatrices de SharePoint Server 2016 devront encore patienter.
Les correctifs de juillet déjà contournés
Les deux vulnérabilités en question prolongent en réalité une démonstration technique initiale réalisée en mai dernier, lors du concours Pwn2Own, à Berlin. Des chercheurs de Viettel Cyber Security y avaient dévoilé deux failles distinctes (CVE-2025-49704 et CVE-2025-49706). Ces vulnérabilités avaient ensuite été combinées par les chercheurs allemands de Code White GmbH pour produire une chaîne d’exploitation baptisée ToolShell, capable d’exécuter du code arbitraire à distance sur un serveur SharePoint à l’aide d’un fichier .aspx spécialement conçu, transmis à l’équipement ciblé. Microsoft avait alors diffusé des correctifs début juillet dans le cadre du Patch Tuesday.
Mais dans les jours qui ont suivi, plusieurs acteurs de la cybersécurité ont souligné les limites de ces correctifs. La faille CVE-2025-53770, transmise à Microsoft par Viettel Cyber Security via le programme Zero Day Initiative de Trend Micro, a ensuite été observée en conditions réelles par l’entreprise néerlandaise Eye Security le 18 juillet, à la suite d’une alerte émise par l’EDR d’un de ses clients.
L’analyse a rapidement confirmé que les attaquants s’appuyaient sur une variante de ToolShell, conçue pour contourner les protections publiées quelques jours plus tôt. Au fil des investigations, Eye Security a identifié d’autres compromissions similaires, touchant plus de 85 serveurs SharePoint administrés par des dizaines organisations dans le monde. Parmi les structures visées figurent une université privée, un opérateur du secteur énergétique, un organisme public de santé, ainsi que plusieurs entreprises technologiques et financières. Microsoft a depuis confirmé l’exploitation active de la vulnérabilité, qui ne nécessite aucune authentification pour être déclenchée.
La seconde faille, référencée CVE-2025-53771, repose sur une logique comparable. Elle contourne le correctif publié pour l’autre composante de la chaîne ToolShell, en ciblant cette fois la vulnérabilité CVE-2025-49706. Bien qu’aucune exploitation active n’ait été observée à ce stade, les deux failles pourraient théoriquement être combinées pour reconstituer l’ensemble du scénario initial présenté au Pwn2Own.
Des correctifs déployés en urgence, mais pas pour tout le monde
Face à l’exploitation confirmée de CVE-2025-53770, Microsoft a publié en urgence des correctifs hors cycle pour SharePoint Server 2019 et SharePoint Subscription Edition. Ces mises à jour, disponibles via le Centre de téléchargement, corrigent à la fois CVE-2025-53770 et CVE-2025-53771. En revanche, les utilisateurs et utilisatrices de SharePoint Server 2016 devront patienter. L’éditeur indique travailler sur un correctif équivalent, sans avancer de calendrier.
En attendant, Redmond recommande d’activer l’interface AMSI (Antimalware Scan Interface) si ce n’est pas déjà fait, et d’utiliser une solution de sécurité compatible, capable d’intercepter les scripts malveillants via cette interface. Il est également conseillé de régénérer les clés ASP.NET des serveurs concernés après l’installation des mises à jour ou l’activation d’AMSI.
Pour les serveurs déjà compromis, Microsoft appelle à isoler immédiatement les machines concernées, à réinstaller complètement l’environnement SharePoint à partir de sources fiables et à lancer une investigation plus large pour repérer d’éventuelles latéralisations au sein du réseau.
À titre d’information, les indicateurs d’intrusion publiés mentionnent notamment la présence du fichier malveillant spinstall0.aspx, ainsi que des comportements inhabituels liés au processus w3wp.exe. Plusieurs règles de détection ont été ajoutées dans Defender for Endpoint, et les deux vulnérabilités sont désormais référencées dans Microsoft Defender Vulnerability Management, y compris sur les versions plus anciennes comme SharePoint 2010 et 2013.
Enfin, en cas d’impossibilité d’appliquer les correctifs ou de mettre en œuvre les protections recommandées, Microsoft préconise de couper temporairement l’accès à Internet des serveurs exposés.
Sources : Microsoft [1], Microsoft [2], CISA, Eye Security, Bleeping Computer
19 juillet 2025 à 16h30
