Faille critique SharePoint, Microsoft publie un correctif d'urgence en pleine vague de cyberattaques

Faille critique SharePoint, Microsoft publie un correctif d’urgence en pleine vague de cyberattaques

Par Adrien | Modifié le 28 novembre 2025 |Cybersécurité

Une faille critique affecte SharePoint Server : Microsoft publie en urgence des correctifs pour contrer une attaque RCE déjà exploitée. Versions concernées, patchs et actions immédiates.

Microsoft a publié en urgence un correctif pour une faille de sécurité critique affectant les versions on-premises de SharePoint. Référencée CVE-2025-53770, cette vulnérabilité permet l’exécution de code à distance (RCE) et est déjà exploitée dans des cyberattaques en cours visant entreprises, universités et institutions publiques. Si vous utilisez SharePoint Server 2016, 2019 ou SE, une action immédiate est requise pour éviter toute compromission.

Faille critique SharePoint, Microsoft publie un correctif d’urgence en pleine vague de cyberattaques
Bonne lecture

CVE-2025-53770 : Une faille RCE activement exploitée

Le 18 juillet 2025, Microsoft a confirmé l’exploitation active d’une faille critique dans SharePoint Server identifiée sous la référence CVE-2025-53770. Cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code à distance (RCE) sur un serveur vulnérable en exploitant un défaut dans la gestion des requêtes ASP.NET. Elle affecte plusieurs versions de SharePoint on-premises : les éditions 2016, 2019 et Subscription Edition.

Cette faille permet à un cyberattaquant de prendre le contrôle complet du serveur SharePoint, d’extraire les clés cryptographiques MachineKey (utilisées pour sécuriser les sessions et les jetons d’authentification) et d’installer une persistance durable même après redémarrage. En utilisant des fichiers malveillants spinstall0.aspx, l’attaquant peut déployer des web shells permettant un contrôle total à distance.

La campagne identifiée repose sur un outil baptisé ToolShell qui utilise cette faille en conjonction avec d’autres vulnérabilités ASP.NET (CVE-2025-49704 et CVE-2025-49706) pour contourner l’authentification et compromettre la machine ciblée. L’ensemble de la chaîne permet un accès initial, une escalade de privilèges, puis le vol de données sensibles sans déclencher d’alerte immédiate.

Faille SharePoint RCE : correctifs KB5002754 et KB5002768 à installer d’urgence

Face à l’exploitation active de la faille CVE‑2025‑53770, Microsoft a publié en urgence deux correctifs de sécurité destinés aux versions les plus utilisées de SharePoint on-premises :

  • KB5002754 pour SharePoint Server 2019
  • KB5002768 pour SharePoint Server Subscription Edition

Ces mises à jour corrigent la vulnérabilité principale permettant l’exécution de code à distance et renforcent également la validation des requêtes ASP.NET pour bloquer les vecteurs d’exploitation observés sur le terrain. L’installation est fortement recommandée immédiatement, même en l’absence de signes d’infection.

Pour les utilisateurs de SharePoint Server 2016, aucun correctif n’est encore disponible au moment de la rédaction. Microsoft a confirmé travailler activement à un correctif qui sera publié dès finalisation des tests de compatibilité.

En attendant, il est important d’appliquer des mesures de mitigation temporaires, comme l’activation d’AMSI (Antimalware Scan Interface) et de Microsoft Defender Antivirus afin de détecter les scripts malveillants injectés via ASP.NET. Les administrateurs doivent également restreindre les accès publics aux serveurs SharePoint en limitant l’exposition aux seules adresses IP internes ou de confiance.

Après installation du correctif, Microsoft recommande vivement de renouveler les clés MachineKey ASP.NET et de redémarrer complètement les services IIS afin de neutraliser tout accès persistant laissé par une compromission antérieure.

Les systèmes d’exploitation Linux immuables protégés par conception
Les systèmes d’exploitation Linux immuables protégés par conception
Cybersécurité8 min
Découvrez ce qu’est un système d’exploitation immuable, pourquoi il ne peut pas être modifié et en quoi ce modèle renforce la sécurité, la stabilité et la fiabilité des systèmes modernes.

Microsoft alerte sur le risque de persistance même après correctif

La vulnérabilité CVE‑2025‑53770 illustre une fois de plus à quel point les environnements SharePoint on-premises peuvent devenir des cibles privilégiées lorsqu’ils ne sont pas régulièrement mis à jour et surveillés. Cette faille critique peut être efficacement contenue si les correctifs sont appliqués sans délai et si les mesures de durcissement sont prises au sérieux.

Microsoft alerte toutefois que même après l’installation du correctif, les clés ASP.NET déjà compromises peuvent continuer à être utilisées par les attaquants et leur permet de maintenir un accès discret et persistant. C’est pourquoi la rotation manuelle des clés MachineKey et le redémarrage complet d’IIS ne sont pas optionnels, mais essentiels.

Cet incident rappelle l’importance d’un durcissement proactif des serveurs SharePoint : filtrage IP, contrôle des accès externes, surveillance renforcée des logs IIS et audits réguliers des fichiers déployés. Dans un contexte où les cyberattaques ciblées deviennent de plus en plus fréquentes, l’anticipation reste votre meilleure défense.

Comment soutenir un créateur de contenu indépendant ?

Le contenu indépendant n'est jamais réellement gratuit. Derrière chaque article se cachent des heures de recherche et de rédaction ainsi que des coûts techniques incompressibles. Pour préserver un accès libre, sans barrière financière, les créateurs s'appuient sur des formes de soutien alternatives qui permettent à chacun de contribuer selon ses moyens.

Gratuit

Partager le contenu

Un lien envoyé à un proche, sur un forum ou publié sur un réseau social permet de toucher de nouveaux lecteurs et de faire vivre un contenu indépendant.

Publicité bloquée

Soutien par la publicité

Le soutien par la publicité ne semble pas actif. Vous pouvez autoriser ce site pour soutenir la création de contenus.

Soutien désactivé

Amazon

Acheter un produit testé

Je propose une sélection de produits testés et comparés afin de vous aider à choisir le meilleur rapport qualité prix. Les liens utilisés sont affiliés et permettent de soutenir le site sans surcoût.

Voir les guides d'achat

Autrement

M'offrir un café

Si vous le souhaitez, vous pouvez contribuer directement pour aider à financer l'hébergement, les tests et le temps de rédaction. C'est optionnel et cela permet de garder le contenu libre.

M'offrir un café

Retour en haut