La vulnérabilité critique de Microsoft SharePoint récemment révélée est exploitée depuis le 7 juillet 2025, selon les conclusions de Check Point Research.

La société de cybersécurité a déclaré avoir observé les premières tentatives d’exploitation ciblant un important gouvernement occidental non identifié, l’activité s’intensifiant les 18 et 19 juillet, couvrant les secteurs du gouvernement, des télécommunications et des logiciels en Amérique du Nord et en Europe occidentale.

Check Point a également déclaré que les efforts d’exploitation provenaient de trois adresses IP différentes – 104.238.159[.]149, 107.191.58[.]76 et 96.9.125[.]147 – dont l’une était auparavant liée à l’utilisation de failles de sécurité dans les appareils Ivanti Endpoint Manager Mobile (EPMM) ( CVE-2025-4427 et CVE-2025-4428 ).

« Nous sommes témoins d’une menace urgente et active : une faille zero-day critique dans SharePoint on-prem est exploitée dans la nature, mettant en danger des milliers d’organisations mondiales », a déclaré Lotem Finkelstein, directeur du renseignement sur les menaces chez Check Point Research, à The Hacker News.

« Notre équipe a confirmé des dizaines de tentatives de compromission dans les secteurs public, des télécommunications et de la technologie depuis le 7 juillet. Nous encourageons vivement les entreprises à mettre à jour leurs systèmes de sécurité immédiatement : cette campagne est à la fois sophistiquée et rapide. »

Les chaînes d’attaque ont été observées en exploitant CVE-2025-53770, une faille d’exécution de code à distance récemment corrigée dans SharePoint Server, et en la chaînant avec CVE-2025-49706, une vulnérabilité d’usurpation d’identité qui a été corrigée par Microsoft dans le cadre de sa mise à jour Patch Tuesday de juillet 2025, pour obtenir un accès initial et élever les privilèges.

Il convient de mentionner à ce stade que deux ensembles de vulnérabilités dans SharePoint ont été révélés ce mois-ci :

• CVE-2025-49704 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint (corrigée le 8 juillet 2025)
• CVE-2025-49706 (score CVSS : 7,1) – Vulnérabilité d’usurpation d’identité dans Microsoft SharePoint Server (corrigée le 8 juillet 2025)

• CVE-2025-53770 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server
• CVE-2025-53771 (score CVSS : 7,1) – Vulnérabilité d’usurpation d’identité dans Microsoft SharePoint Server

Les failles CVE-2025-49704 et CVE-2025-49706, collectivement appelées ToolShell, constituent une chaîne d’exploitation pouvant conduire à l’exécution de code à distance sur des instances SharePoint Server. Elles ont été initialement révélées par Viettel Cyber Security lors du concours de piratage Pwn2Own 2025 début mai.

Les failles CVE-2025-53770 et CVE-2025-53771, apparues au cours du week-end, ont été décrites comme des variantes de CVE-2025-49704 et CVE-2025-49706, respectivement, indiquant qu’elles constituent des contournements des correctifs originaux mis en place par Microsoft plus tôt ce mois-ci.

En témoigne le fait que Microsoft a reconnu des attaques actives exploitant des « vulnérabilités partiellement corrigées par la mise à jour de sécurité de juillet ». L’entreprise a également indiqué dans ses avis que les mises à jour pour CVE-2025-53770 et CVE-2025-53771 incluaient des « protections plus robustes » que celles pour CVE-2025-49704 et CVE-2025-49706. Il convient toutefois de noter que CVE-2025-53771 n’a pas été signalé par Redmond comme étant activement exploité.

« CVE-2025-53770 exploite une faiblesse dans la gestion de la désérialisation des données non fiables par Microsoft SharePoint Server », a déclaré Martin Zugec, directeur des solutions techniques chez Bitdefender . « Les attaquants exploitent cette faille pour exécuter du code à distance sans authentification. »

Ceci est réalisé en déployant des shells Web ASP.NET malveillants qui extraient par programmation des clés cryptographiques sensibles. Ces clés volées sont ensuite exploitées pour créer et signer des charges utiles __VIEWSTATE malveillantes, établissant ainsi un accès persistant et permettant l’exécution de commandes arbitraires sur SharePoint Server.

Selon la télémétrie de Bitdefender, une exploitation dans la nature a été détectée aux États-Unis, au Canada, en Autriche, en Jordanie, au Mexique, en Allemagne, en Afrique du Sud, en Suisse et aux Pays-Bas, suggérant un abus généralisé de la faille.

L’unité 42 de Palo Alto Networks, dans sa propre analyse de la campagne, a déclaré avoir observé des commandes exécutées pour exécuter une commande PowerShell codée en Base64, qui crée un fichier à l’emplacement « C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx » puis analyse son contenu.

« Le fichier spinstall0.aspx est un shell Web qui peut exécuter diverses fonctions pour récupérer les ValidationKeys, DecryptionKeys et le CompatabilityMode du serveur, qui sont nécessaires pour forger les clés de chiffrement ViewState », a déclaré l’unité 42 dans un rapport sur les menaces.

Contenu de spinstall0.aspx

Dans un avis publié lundi, SentinelOne a déclaré avoir détecté une première exploitation le 17 juillet, la société de cybersécurité ayant identifié trois « groupes d’attaques distincts », comprenant des acteurs de la menace alignés sur l’État, engagés dans des activités de reconnaissance et d’exploitation à un stade précoce.

Les cibles des campagnes comprennent le conseil technologique, la fabrication, les infrastructures critiques et les services professionnels liés aux organisations d’architecture et d’ingénierie sensibles.

« Les premières cibles suggèrent que l’activité était initialement soigneusement sélective, visant des organisations ayant une valeur stratégique ou un accès élevé », ont déclaré les chercheurs Simon Kenin, Jim Walter et Tom Hegel .

L’analyse de l’attaque a révélé l’utilisation d’un shell web ASPX protégé par mot de passe (« xxx.aspx ») le 18 juillet 2025 à 9 h 58 GMT. Ce shell web prend en charge trois fonctions : l’authentification via un formulaire intégré, l’exécution de commandes via cmd.exe et le téléchargement de fichiers.

Des efforts d’exploitation ultérieurs ont été découverts pour utiliser le shell Web « spinstall0.aspx » pour extraire et exposer du matériel cryptographique sensible de l’hôte.

Spinstall0.aspx n’est « pas un webshell de commande traditionnel, mais plutôt un utilitaire de reconnaissance et de persistance », ont expliqué les chercheurs. « Ce code extrait et affiche les valeurs MachineKey de l’hôte, notamment ValidationKey, DecryptionKey et les paramètres de mode cryptographique – des informations essentielles pour les attaquants cherchant à maintenir un accès persistant dans des environnements SharePoint à charge équilibrée ou à falsifier des jetons d’authentification. »

Contrairement à d’autres shells Web qui sont généralement déposés sur des serveurs exposés à Internet pour faciliter l’accès à distance, spinstall0.aspx semble être conçu dans le seul but de collecter des secrets cryptographiques qui pourraient ensuite être utilisés pour forger des jetons d’authentification ou de session sur des instances SharePoint.

Ces attaques, selon CrowdStrike , commencent par une requête HTTP POST spécialement conçue, envoyée à un serveur SharePoint accessible, qui tente d’écrire spinstall0.aspx via PowerShell, selon CrowdStrike. L’entreprise a déclaré avoir bloqué des centaines de tentatives d’exploitation dans plus de 160 environnements clients.

SentinelOne a également découvert un cluster « no shell » qui adoptait une approche plus avancée et plus furtive face aux autres acteurs malveillants en optant pour l’exécution de modules .NET en mémoire sans déposer de charge utile sur le disque. L’activité provenait de l’adresse IP 96.9.125[.]147.

« Cette approche complique considérablement la détection et la récupération médico-légale, soulignant la menace posée par les techniques de post-exploitation sans fichier », a déclaré la société, affirmant qu’il s’agit soit d’un « exercice d’émulation d’équipe rouge qualifié, soit du travail d’un acteur de menace compétent axé sur l’accès évasif et la collecte d’informations d’identification ».

On ne sait pas actuellement qui est derrière l’activité d’attaque, bien que Mandiant, propriété de Google, ait attribué l’exploitation précoce à un groupe de pirates informatiques aligné sur la Chine.

Les données de Censys indiquent que 9 762 serveurs SharePoint locaux sont en ligne, mais on ignore actuellement s’ils sont tous vulnérables aux failles. Les serveurs SharePoint étant une cible lucrative pour les acteurs malveillants en raison de la nature sensible des données organisationnelles qu’ils contiennent, il est essentiel que les utilisateurs appliquent rapidement les correctifs , effectuent la rotation des clés et redémarrent les instances.

« Nous estimons qu’au moins un des acteurs responsables de cette exploitation précoce est un acteur malveillant lié à la Chine », a déclaré Charles Carmakal, directeur technique de Mandiant Consulting chez Google Cloud, dans un message publié sur LinkedIn. « Nous avons connaissance de victimes dans plusieurs secteurs et zones géographiques. L’activité impliquait principalement le vol de clés informatiques pouvant servir à accéder aux environnements des victimes après l’application du correctif. »