Faille critique SharePoint exploitée activement

Critical Unpatched SharePoint Zero-Day

Une faille zero-day dangereuse dans Microsoft SharePoint Server, référencée CVE-2025-53770, est activement exploitée par des groupes malveillants. Avec un score CVSS de 9.8, cette vulnérabilité permet l’exécution de code à distance sans authentification sur des serveurs SharePoint vulnérables. Microsoft a confirmé des attaques en cours touchant déjà plus de 85 serveurs dans le monde.

CVE-2025-53770 : pourquoi cette faille est critique


CVE-2025-53770 est une variante de CVE-2025-49704, une faille RCE précédemment corrigée. Le problème vient de la désérialisation de données non fiables dans les SharePoint Server locaux, permettant à un attaquant d’exécuter des commandes avant même l’authentification.

Une fois infiltrés, les attaquants volent les clés cryptographiques du serveur (ValidationKey et DecryptionKey) pour forger des charges utiles __VIEWSTATE valides. Cette technique leur garantit un accès persistant et furtif, difficile à détecter sans surveillance approfondie.

Impact réel de cette exploitation


Selon Eye Security et Palo Alto Networks Unit 42, cette faille est utilisée dans une campagne à grande échelle surnommée « ToolShell ». À ce jour, plus de 85 serveurs SharePoint appartenant à 29 organisations, dont des gouvernements et multinationales, ont été compromis. Les charges ASPX sont livrées via PowerShell afin d’extraire les clés cryptographiques et de prendre le contrôle total du serveur.

Même après l’application d’un correctif, les clés volées ne sont pas automatiquement régénérées, ce qui rend la remédiation complexe.

Réactions de Microsoft et de la CISA


La CISA a confirmé l’exploitation active de cette faille et publié une alerte de sécurité. Microsoft a reconnu la vulnérabilité, remercié Viettel Cyber Security (via Trend Micro ZDI), puis publié un correctif couvrant CVE-2025-53770 et une faille connexe : CVE-2025-53771.

Microsoft recommande d’activer l’intégration AMSI sur les serveurs SharePoint, de déployer Microsoft Defender Antivirus ainsi que Defender for Endpoint. Si AMSI n’est pas activable, il est recommandé de couper l’accès internet au serveur jusqu’à l’application du correctif.

Détails techniques et chaîne d’exploitation


La faille est liée à deux autres vulnérabilités :

  • CVE-2025-49704 : faille RCE initiale.

  • CVE-2025-49706 : vulnérabilité de contournement d’authentification via l’en-tête HTTP Referer.

  • CVE-2025-53771 : faille découverte récemment, renforce la sécurité.

Les pirates exploitent le point d’entrée ToolPane de SharePoint pour contourner l’authentification et déposer leur charge utile avant tout contrôle d’accès.

Mesures de protection recommandées


Le correctif est disponible. En attendant, appliquez les recommandations suivantes :

  • Activez l’intégration AMSI.

  • Déployez Defender AV et Defender for Endpoint.

  • Révoquez les clés cryptographiques si une compromission est suspectée.

  • Surveillez les charges __VIEWSTATE anormales et l’activité PowerShell.

Les entreprises utilisant SharePoint en local doivent réagir immédiatement.

Besoin d’aide pour sécuriser votre environnement SharePoint ? Nos services de cybersécurité vous accompagnent pour détecter, répondre et renforcer vos défenses.

Conclusion


La faille CVE-2025-53770 représente une menace sérieuse pour les infrastructures SharePoint. Elle permet une exécution de code sans authentification et rend la remédiation complexe via des clés cryptographiques volées. Il est impératif d’appliquer les correctifs, durcir les protections et renforcer la détection.

Lire l’article complet de The Hacker News ici.

Restez informé avec nous !

Abonnez-vous à notre newsletter mensuelle sur la cybersécurité pour suivre nos actualités et les tendances du secteur.

Blog

Découvrez nos analyses, articles exclusifs, événements à venir et les dernières actualités sur les cybermenaces.

New EDR Killer Tool Used by Multiple Ransomware Groups

Nouvel outil EDR Killer utilisé par plusieurs groupes de ransomware

  • Ransomware
A zero-day flaw in the Lovense app

Une faille dans Lovense exposent les emails des utilisateurs

  • Brèche informatique, Fuite de données
Allianz Life Data Breach

Allianz Life : une fuite de données touche la majorité des clients

  • Fuite de données

Tous nos articles

Avez-vous été victime de pirates informatiques ? D'une violation de données ? Appelez-nous ou écrivez-nous, nous savons ce qu'il faut faire.

+ 41 22 588 65 90 (24/7 ligne directe)
emergency@zendata.security

Pendant que nous traitons votre demande, voici quelques actions que vous pouvez déjà entreprendre pour prévenir une catastrophe.

Guide des bonnes pratiques

Newsletter

Restez au courant de l’actualité, des cybermenaces émergentes, des dernières tendances, des événements à venir et de nos analyses en vous abonnant à notre newsletter mensuelle dédiée à la cybersécurité.

Depuis 2011, nous soutenons les entreprises, les gouvernements et les organisations éducatives. Nous collaborons avec des organisations internationales et les forces de l’ordre pour vous fournir des réponses rapides et efficaces face aux cybermenaces.

Bureaux

Genève

Rte de Frontenex, 62Bis,

1207, Genève

Suisse

022 588 65 90

Bahreïn

Bureau 1201,

Almoayyed TowerAI, Seef,

Bahreïn

+973 6500 2035

Abu Dhabi

Bureau 603, Centro Capital Center,

Abu Dhabi Exhibition Center,

Khaleej Al Arabi St, Abu Dhabi,

UAE

+9712 622 0580

 

Dubaï

Building Montana,

D84 Zaa’beel Street, Dubai,

UAE

800 0120009

Singapour

90 EU Tong Sen Street

#03-02B, Singapour, 059811

Singapour

+65 6035 8090

Légal

Politique de confidentialité

Cookie Policy

Data Processing Agreement

Refund Policy

Terms & Conditions

Réseaux sociaux

Téléchargements

DEFCON : Suisse

© Copyright ZENDATA CYBERSECURITY