Faille critique SharePoint, Microsoft publie un correctif d'urgence en pleine vague de cyberattaques

Faille critique SharePoint, Microsoft publie un correctif d’urgence en pleine vague de cyberattaques

Par Adrien | Dernière modification le 21 juillet 2025 | Cybersécurité

Une faille critique affecte SharePoint Server : Microsoft publie en urgence des correctifs pour contrer une attaque RCE déjà exploitée. Versions concernées, patchs et actions immédiates.
Cet article a été lu 54 fois.

Microsoft a publié en urgence un correctif pour une faille de sécurité critique affectant les versions on-premises de SharePoint. Référencée CVE-2025-53770, cette vulnérabilité permet l’exécution de code à distance (RCE) et est déjà exploitée dans des cyberattaques en cours visant entreprises, universités et institutions publiques. Si vous utilisez SharePoint Server 2016, 2019 ou SE, une action immédiate est requise pour éviter toute compromission.

CVE-2025-53770 : Une faille RCE activement exploitée

Le 18 juillet 2025, Microsoft a confirmé l’exploitation active d’une faille critique dans SharePoint Server identifiée sous la référence CVE-2025-53770. Cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code à distance (RCE) sur un serveur vulnérable en exploitant un défaut dans la gestion des requêtes ASP.NET. Elle affecte plusieurs versions de SharePoint on-premises : les éditions 2016, 2019 et Subscription Edition.

Cette faille permet à un cyberattaquant de prendre le contrôle complet du serveur SharePoint, d’extraire les clés cryptographiques MachineKey (utilisées pour sécuriser les sessions et les jetons d’authentification) et d’installer une persistance durable même après redémarrage. En utilisant des fichiers malveillants spinstall0.aspx, l’attaquant peut déployer des web shells permettant un contrôle total à distance.

La campagne identifiée repose sur un outil baptisé ToolShell qui utilise cette faille en conjonction avec d’autres vulnérabilités ASP.NET (CVE-2025-49704 et CVE-2025-49706) pour contourner l’authentification et compromettre la machine ciblée. L’ensemble de la chaîne permet un accès initial, une escalade de privilèges, puis le vol de données sensibles sans déclencher d’alerte immédiate.

Faille SharePoint RCE : correctifs KB5002754 et KB5002768 à installer d’urgence

Face à l’exploitation active de la faille CVE‑2025‑53770, Microsoft a publié en urgence deux correctifs de sécurité destinés aux versions les plus utilisées de SharePoint on-premises :

  • KB5002754 pour SharePoint Server 2019
  • KB5002768 pour SharePoint Server Subscription Edition

Ces mises à jour corrigent la vulnérabilité principale permettant l’exécution de code à distance et renforcent également la validation des requêtes ASP.NET pour bloquer les vecteurs d’exploitation observés sur le terrain. L’installation est fortement recommandée immédiatement, même en l’absence de signes d’infection.

Pour les utilisateurs de SharePoint Server 2016, aucun correctif n’est encore disponible au moment de la rédaction. Microsoft a confirmé travailler activement à un correctif qui sera publié dès finalisation des tests de compatibilité.

En attendant, il est important d’appliquer des mesures de mitigation temporaires, comme l’activation d’AMSI (Antimalware Scan Interface) et de Microsoft Defender Antivirus afin de détecter les scripts malveillants injectés via ASP.NET. Les administrateurs doivent également restreindre les accès publics aux serveurs SharePoint en limitant l’exposition aux seules adresses IP internes ou de confiance.

Après installation du correctif, Microsoft recommande vivement de renouveler les clés MachineKey ASP.NET et de redémarrer complètement les services IIS afin de neutraliser tout accès persistant laissé par une compromission antérieure.

Microsoft alerte sur le risque de persistance même après correctif

La vulnérabilité CVE‑2025‑53770 illustre une fois de plus à quel point les environnements SharePoint on-premises peuvent devenir des cibles privilégiées lorsqu’ils ne sont pas régulièrement mis à jour et surveillés. Cette faille critique peut être efficacement contenue si les correctifs sont appliqués sans délai et si les mesures de durcissement sont prises au sérieux.

Microsoft alerte toutefois que même après l’installation du correctif, les clés ASP.NET déjà compromises peuvent continuer à être utilisées par les attaquants et leur permet de maintenir un accès discret et persistant. C’est pourquoi la rotation manuelle des clés MachineKey et le redémarrage complet d’IIS ne sont pas optionnels, mais essentiels.

Cet incident rappelle l’importance d’un durcissement proactif des serveurs SharePoint : filtrage IP, contrôle des accès externes, surveillance renforcée des logs IIS et audits réguliers des fichiers déployés. Dans un contexte où les cyberattaques ciblées deviennent de plus en plus fréquentes, l’anticipation reste votre meilleure défense.

Cet article vous a-t-il été utile ?

Aimé Pas aimé
Soyez la première personne à donner votre avis

À propos de l'auteur

Adrien Piron

Professionnel de l’assistance informatique depuis plusieurs années, j’ai fondé Assistouest pour répondre aux besoins des utilisateurs : diagnostic, dépannage et maintenance.

S’abonner
Notification pour
guest
0 Commentaires
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
× zoom plus modale
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x