Les vulnérabilités exploitées de Microsoft SharePoint, qui font grand bruit depuis quelques jours, proviennent d'un correctif défaillant qui remonte à 2020. L'expert en cybersécurité Kaspersky évoque une négligence du géant américain.
L'affaire Microsoft SharePoint vient de connaître un rebondissement. Les chercheurs de Kaspersky ont établi un lien direct entre les cyberattaques SharePoint de ces dernières semaines, et une ancienne, très ancienne vulnérabilité. Leur analyse technique démontre que l'exploit ToolShell présente des similitudes troublantes avec la vulnérabilité CVE-2020-1147, une faille que Microsoft pensait avoir corrigée en 2020. Voilà qui explique pourquoi les cybercriminels parviennent à contourner si aisément les protections actuelles des serveurs SharePoint.
Un bug sur un correctif de 2020 qui refait surface cinq ans plus tard
Les révélations de Kaspersky pourraient faire parler dans le petit monde de la cybersécurité. Les experts de l'éditeur ont découvert que ToolShell, l'exploit qui terrorise les serveurs SharePoint, ressemble étrangement à CVE-2020-1147. On parle ici d'une faille qui a en théorie été corrigée il y a plusieurs années, mais qui a visiblement été mal rafistolée.
Le lien devient évident quand on analyse les techniques d'attaque. Les chercheurs ont constaté qu'il suffisait d'ajouter une simple barre oblique « / » dans l'exploit, pour contourner les correctifs de juillet. Un détail technique dérisoire qui en dit long sur la qualité du correctif Microsoft à l'époque, et qui explique cette résurrection spectaculaire.
La découverte nous montre en effet pourquoi les attaques ont pu reprendre si rapidement après les premiers correctifs. Les cybercriminels n'ont eu qu'à ressortir de vieux outils de leurs tiroirs, légèrement dépoussiérés pour contourner les protections récentes. Une situation qui rappelle que dans la cybersécurité, rien n'est jamais vraiment enterré, surtout quand les corrections sont approximatives.
Des attaques mondiales qui ne font que commencer
Tout le problème, c'est que pendant que Microsoft jongle avec ses correctifs, les hackers mènent la danse à l'échelle planétaire. Kaspersky a détecté des tentatives d'intrusion dans des pays aussi variés que l'Égypte, le Vietnam, la Jordanie, la Russie, ou encore la Zambie. Oui, cette faille ouvre l'appétit des cybercriminels.
L'éventail des secteurs ciblés inquiète les experts, puisque la finance, les gouvernements, l'industrie manufacturière, mais aussi l'agriculture et le forestier, sont concernés. Cela montre bien que les attaquants ne font pas dans la dentelle et ratissent large. Ils profitent de l'omniprésence de SharePoint dans les infrastructures d'entreprise pour accentuer leur présence. Certaines intrusions ont d'ailleurs déjà été attribuées à de potentiels groupes pirates soutenus par Pékin.
Chaque organisation qui utilise Microsoft SharePoint devient mécaniquement une cible potentielle. « Nous nous attendons à ce que ToolShell suive le même schéma » que ProxyLogon, EternalBlue et PrintNightmare, explique l'expert Boris Larin. Pour lui, la facilité d'exploitation de ToolShell signifie que l'exploit public apparaîtra bientôt dans les outils populaires de test d'intrusion. Traduction : le calvaire SharePoint ne fait sans doute que commencer.
