La vulnérabilité critique dans SharePoint Server, pourtant corrigée, continue de faire l’objet d’attaques ciblées. Google attribue certaines intrusions à un groupe soutenu par la Chine, et alerte sur une généralisation probable du phénomène.
- Une faille critique dans SharePoint Server, CVE-2025-53770, est exploitée par des hackers malgré un patch.
- Des attaques ciblées, attribuées notamment à un groupe chinois, visent des entreprises et administrations en Amérique du Nord et Europe.
- Microsoft recommande des mesures urgentes pour sécuriser les serveurs, y compris régénérer les clés ASP.NET et analyser les logs.
Ce qui ressemblait au départ à une série d’attaques isolées prend désormais une toute autre dimension. D’après plusieurs acteurs de la cybersécurité, la faille CVE-2025-53770, qui affecte les instances on-premise de SharePoint Server, est au cœur d’une campagne d’attaques bien plus vaste qu’anticipé. Et si Microsoft a depuis corrigé la vulnérabilité, la menace persiste pour de nombreuses structures n’ayant pas encore patché leurs infrastructures – ou l’ayant fait trop tard.
Une vague d’intrusions plus ancienne et plus étendue que prévu
Il n’aura pas fallu 48 heures après la divulgation publique de la faille CVE-2025-53770 dans SharePoint pour que la situation prenne un tout autre relief. Ce qui ressemblait encore à une série d’attaques ciblées, ponctuelles et relativement contenues s’est transformé en tout autre chose – plus vaste, plus agressif, et surtout beaucoup plus visible.
Selon Check Point, les intrusions remonteraient en réalité au 7 juillet, soit près de deux semaines avant les premières observations rapportées par Eye Security, qui situait les premières compromissions à la mi-juillet. Un gouvernement occidental non nommé aurait été visé dès cette phase initiale, avant une intensification brutale des attaques autour des 18 et 19 du mois. Depuis, les cibles se sont multipliées : entreprises énergétiques, opérateurs télécoms, administrations publiques, éditeurs de logiciels… avec une concentration des attaques en Amérique du Nord et en Europe.
CrowdStrike affirme de son côté avoir bloqué plusieurs centaines de tentatives d’exploitation en très peu de temps, ce qui confirme une activité bien plus soutenue que ne le laissaient supposer les premiers rapports.
Sans surprise, toutes ces attaques s’appuient sur la même chaîne de vulnérabilités présentée au Pwn2Own 2025, pourtant patchée par Microsoft en début de mois. L’entreprise a depuis reconnu que les correctifs initiaux ne suffisaient pas, et que CVE-2025-53770 permettait malgré tout de compromettre des serveurs théoriquement à jour.
Évidemment, la publication récente d’un exploit fonctionnel sur GitHub n’a rien arrangé, et plusieurs acteurs malveillants ont depuis été observés en train d’en tirer parti, sans qu’il soit possible, à ce stade, de parler d’une campagne coordonnée. Dans un post LinkedIn, Charles Carmakal, CTO de Google Mandiant, a confirmé qu’au moins l’un d’entre eux était lié à la Chine, et prévenu que les intrusions opportunistes devraient se multiplier dans les jours à venir… y compris sur les serveurs SharePoint déjà patchés.
Les correctifs neutralisés par les vols de clés
C’est là que réside la principale inquiétude. Car si certains serveurs n’ont toujours pas été mis à jour, d’autres restent exposés… même après l’application du patch. En cause, une technique d’attaque documentée, entre autre, par Bitdefender et Unit 42, qui consiste à exploiter la vulnérabilité pour déposer un webshell (spinstall0.aspx) leur permettant d’extraire les ValidationKey et DecryptionKey – des clés cryptographiques essentielles. Avec ces informations, ils peuvent générer des tokens ou des payloads VIEWSTATE malveillants, afin de maintenir un accès persistant au système, malgré le correctif.
Certaines variantes, décrites par SentinelOne, évitent même toute écriture sur disque : les attaquants injectent directement des modules .NET en mémoire, ce qui complique considérablement la détection et l’analyse a posteriori.
Ce que vous devez faire dès maintenant
Les instances SharePoint Online ne sont pas concernées. En revanche, pour les versions 2016, 2019 ou Subscription Edition hébergées en interne, Microsoft et la CISA recommandent :
- d’appliquer immédiatement les derniers correctifs publiés entre le 18 et le 21 juillet ;
- d’activer AMSI (Antimalware Scan Interface) pour intercepter les scripts malveillants à l’exécution ;
- de régénérer les clés ASP.NET après correctif, faute de quoi les anciennes pourraient être réutilisées ;
- d’analyser les logs IIS pour repérer
spinstall0.aspxou tout autre anomalie liée àw3wp.exe; - d’isoler tout serveur compromis, réinstaller SharePoint à partir de sources fiables et surveiller les mouvements latéraux sur l’ensemble du réseau.
Dans les cas les plus critiques, Microsoft recommande de limiter temporairement l’exposition à Internet des serveurs on-premise concernés, le temps de déployer toutes les protections. L'activation d’un EDR ou d’une solution antivirus compatible avec AMSI peut également renforcer la détection en profondeur, notamment face aux charges fileless ou aux mouvements latéraux.
Sources : Check Point, Google via Linkedin, SentinelOne, Bitdefender, Unit 42, CrowdStrike
