Lösungen

Preise

Partner

Login

Kostenlose Beratung
21.07.2025

Vulnérabilité critique dans Microsoft SharePoint

Nous souhaitons attirer votre attention sur une vulnérabilité de sécurité actuellement exploitée dans Microsoft SharePoint , qui présente des risques considérables pour les systèmes exploités exclusivement localement (« on-premises »).

L’agence américaine de cybersécurité CISA et Microsoft elle-même signalent des attaques actives contre des systèmes exploitant la vulnérabilité CVE-2025-53770 – également connue sous le nom de « ToolShell ». Vous trouverez ci-dessous un aperçu de l’incident ainsi que des mesures concrètes que vous pouvez prendre pour sécuriser vos systèmes.

Que s’est-il passé ?

La vulnérabilité CVE-2025-53770 permet aux attaquants d’accéder aux serveurs SharePoint sans se connecter (« non authentifié ») et d’exécuter un code arbitraire sur le réseau (= RCE → exécution de code à distance). Il s’agit d’une variante de la vulnérabilité déjà connue CVE-2025-49706 et repose sur une désérialisation défectueuse – un processus technique dans lequel les données sont converties en un format lisible. Si cela n’est pas suffisamment sécurisé, un code malveillant peut être introduit et exécuté.

Les attaquants peuvent accéder entièrement au serveur puis à l’infrastructure qui le sous-tend, y compris le stockage des fichiers, la configuration et le contenu sensible. L’incident ne concerne que les installations locales de SharePointSharePoint Online (Microsoft 365) n’est pas affecté, selon Microsoft.

Qu’est-ce qui est affecté ?

La vulnérabilité ne concerne que les entreprises qui exploitent Microsoft SharePoint localement (sur site).

Plus précisément, les versions suivantes sont en danger :

  • SharePoint Server 2016
  • SharePoint Server 2019
  • Édition SharePoint par abonnement (si elle n’a pas été correcte)

La version cloud de SharePoint Online, qui fonctionne sous Microsoft 365, n’est pas affectée.

La situation est particulièrement critique si les serveurs concernés sont directement accessibles via Internet et que des mesures de protection importantes ou des mises à jour manquent.

Comment puis-je me protéger ?

  1. Installer les mises à jour de sécurité : Microsoft a maintenant publié des correctifs pour SharePoint 2019 (correctif avec l’identifiant KB5002754) et l’Édition Abonnement (correctif avec l’identifiant KB 5002768). La mise à jour de sécurité de SharePoint 2016 est actuellement en cours. Dans ce cas, il est recommandé de prendre des mesures de protection immédiates (voir ci-dessous) jusqu’à la sortie de la mise à jour et d’installer en même temps les mises à jour de sécurité de juillet de Microsoft.

  1. Faire pivoter les clés machine : Après l’installation des mises à jour, les soi-disant clés ASP.NET machine doivent être renouvelées. Ces clés sont essentielles pour une communication sécurisée entre les composants du système. La rotation se fait via PowerShell ou via SharePoint Central Administration. Ensuite, un redémarrage du serveur web IIS est nécessaire.

  2. Activer l’interface de balayage antimalware (AMSI) : AMSI détecte et bloque les scripts suspects à l’exécution. Assurez-vous que l’AMSI est correctement activé. Cela devrait être activé par défaut depuis septembre 2023.

  3. Utilisez Microsoft Defender Antivirus et Defender for Endpoint : Ces solutions de sécurité détectent les schémas d’attaque connus et bloquent les activités associées. Alternativement, des solutions comparables de détection et de réponse aux points de terminaison (EDR) peuvent être utilisées.

  4. Déconnecter les systèmes d’urgence du réseau (si l’AMSI ne peut pas être activé) : Si l’AMSI ne peut pas être activé, la CISA recommande que les systèmes publics soient temporairement déconnectés d’Internet.

  5. Assurer la journalisation et la surveillance : Activez la journalisation complète (journalisation des événements) pour suivre les comportements inhabituels. En particulier, surveillez les requêtes POST vers des chemins suspects.

D’experts pour experts :

Les responsables informatiques doivent en particulier vérifier les schémas d’attaque suivants :

  • Présence du fichier : /_layouts/15/ToolPane.aspx ? DisplayMode=Modifier
  • Accès depuis les adresses IP suivantes : 107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147
     (en particulier entre le 18 et le 19 juillet 2025)
  • Des alertes dans Microsoft Defender telles que :
    « Installation possible de webshell »
    « Comportement suspect des processus des travailleurs de l’IIS »
    Détecté des malwares « HijackSharePointServer » ou « SuspSignoutReq »
Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung