Microsoft a publié des mises à jour de sécurité d'urgence pour corriger une vulnérabilité critique dans son serveur SharePoint sur site., avertissement que la faille est actuellement exploitée dans la nature. La société technologique a également dévoilé une deuxième, vulnérabilité connexe.
CVE-2025-53770 : une faille critique permet l'exécution de code à distance
CVE-2025-53770 est un problème de sécurité critique avec un score CVSS de 9.8. La faille provient d'une désérialisation non sécurisée de données non fiables, ce qui peut permettre aux attaquants de exécuter du code à distance sur les serveurs SharePoint vulnérables. Il semble que seules les installations sur site soient sujettes à cette vulnérabilité, avec SharePoint Online restant inchangé.
Cette vulnérabilité est considérée comme une variante de CVE-2025-49706, partie d'une chaîne d'exploitation déjà connue appelée ToolShell, que Microsoft a corrigé plus tôt ce mois-ci.
CVE-2025-53771 : une vulnérabilité d'usurpation d'identité supplémentaire a été révélée.
Parallèlement à la question critique, Microsoft a également révélé un deuxième bug, CVE-2025-53771 avec un score CVSS de 6.3, qui implique une faiblesse de traversée de chemin qui pourrait permettre à des attaquants authentifiés d'usurper le contenu sur le réseau. ce défaut, trop, affecte uniquement les versions auto-hébergées de SharePoint et a été signalé en privé par un chercheur en sécurité anonyme.
Les CVE-2025-53770 et CVE-2025-53771 sont tous deux liés à des bogues précédemment corrigés. (CVE-2025-49704 et CVE-2025-49706) et ont maintenant reçu des mises à jour plus complètes pour atténuer le risque d'exploitation.
Portée des attaques
La société de cybersécurité Eye Security a confirmé qu'au moins 54 organisations, y compris les banques, les universités, et les agences gouvernementales, ont déjà été victimes de cette campagne d'attaque en cours. L'activité d'exploitation aurait commencé vers juillet 18, systèmes de ciblage exposés à Internet.
CVE-2025-53770 a été ajouté au Vulnérabilités connues exploitées (KEV) catalogue par les États-Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA), qui exhorte toutes les agences exécutives civiles fédérales à appliquer les correctifs nécessaires d'ici juillet 21.
Pourquoi les correctifs ne suffisent pas
Les experts en sécurité soulignent que l’application de correctifs n’est qu’une partie de la solution.. Selon l'unité de Palo Alto Networks 42, les attaquants contournent l'authentification multifacteur (MFA) et l'authentification unique (SSO) systèmes pour obtenir un accès privilégié. Une fois à l'intérieur, ils exfiltrent des données, installation de logiciels malveillants persistants, et le vol de clés de chiffrement, ce qui représente une menace plus large pour l'écosystème Microsoft.
Unité 42 a averti que les organisations doivent assumer une compromission si elles utilisent des serveurs SharePoint connectés à Internet. Compte tenu de l’intégration profonde de SharePoint avec des services comme Office, Équipes, onedrive, et perspectives, toute violation pourrait permettre aux attaquants d'accéder aux données les plus sensibles d'une organisation.
Ils ont également souligné que la déconnexion des instances SharePoint vulnérables d’Internet peut être nécessaire comme mesure défensive immédiate..
Actions recommandées pour les clients
Pour réduire les risques et minimiser les dommages potentiels, Microsoft conseille les organisations à prendre les mesures suivantes:
- Mettre à jour tous les serveurs SharePoint 2016, 2019, et les installations de l'édition d'abonnement
- Appliquez les dernières mises à jour de sécurité pour SharePoint
- Activer l'interface d'analyse anti-programme malveillant (L'AMSI) et réglez-le en mode complet
- Utilisez Microsoft Defender pour Endpoint ou une autre solution EDR comparable
- Faites pivoter les clés de la machine ASP.NET et redémarrez IIS sur tous les serveurs SharePoint après l'application du correctif
Dans les cas où AMSI ne peut pas être activé, Microsoft recommande fortement la rotation des clés de la machine après la mise à jour comme une étape cruciale.
Versions corrigées
Les versions suivantes incluent les dernières protections:
- Serveur Microsoft SharePoint 2019 (16.0.10417.20027)
- Serveur d'entreprise SharePoint 2016 (16.0.5508.1000)
- Édition d'abonnement SharePoint Server
- Serveur SharePoint 2019 Noyau
- Serveur SharePoint 2016 (mise à jour en attente)
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: