Select your country

Not finding what you are looking for, select your country from our regional selector:

Rechercher

Les rapports du CERT : découverte d'une vulnérabilité Zero-Day dans Sharepoint

Un homme portant des lunettes travaille sur plusieurs ordinateurs.

L'essentiel de votre hack'tu cybersécurité

  • Les cyberattaquants exploitent activement des serveurs Microsoft SharePoint locaux exposés à Internet en ciblant plusieurs vulnérabilités 0-day, CVE-2025-53770 et CVE-2025-53771, dans un ordre précis. L'exploitation de cette chaîne peut permettre une exécution de code à distance et sans authentification ; 
  • Environ 10 000 serveurs SharePoint accessibles depuis Internet présentent un risque de compromission.
  • Les instances de SharePoint Online et les serveurs SharePoint utilisant la fonctionnalité de sécurité AMSI ne sont pas impactées par cette vulnérabilité 0-day ; 
  • Microsoft a publié des correctifs pour Microsoft SharePoint Server 2019 et SharePoint Server Subscription Edition (3SE). Microsoft SharePoint Enterprise Server 2016 est également concerné, mais aucun correctif n’est encore disponible ; 
  • L'ensemble de vulnérabilités exploité, CVE-2025-53770 et CVE-2025-53771, est une variation de deux autres vulnerabilités, CVE-2025-49706 et CVE-2025-49704 qui ont été divulguées en mai 2025 lors de la conférence Pwn2Own conference qui s'est tenue à Berlin.

Mise à jour du 22 juillet 2025

Nous avons de nouvelles informations suite à la publication de notre première alerte le 21 juillet, concernant l'exploitation en conditions réelles de deux vulnérabilités zero-day affectant des instances SharePoint sur site. Plusieurs PoCs et outils de vérification ont désormais été publiés. Palo Alto et Sophos ont également fourni de nouveaux indicateurs de compromission (IOCs). Selon Censys, le nombre de serveurs SharePoint exposés n’a pas diminué et reste proche de 10 000 instances. Ce chiffre inclut à la fois les serveurs encore vulnérables et ceux déjà corrigés.

Le 22 juillet à 00h30 (CEST), Microsoft a annoncé que toutes les versions maintenues de SharePoint disposent désormais d’un correctif dédié, y compris Microsoft SharePoint Enterprise Server 2016.

Plusieurs organisations auraient été compromises via ces vulnérabilités zero-day, notamment des agences fédérales et étatiques aux États-Unis, ainsi que des entreprises dans les secteurs de la finance, de l’éducation, de l’énergie et de la santé.

Le CERT d’Orange Cyberdefense surveille activement cette menace, analyse et collecte les indices de compromission associés (disponibles pour nos clients Datalake). Étant donné qu’un PoC est également désormais accessible publiquement, nous maintenons le niveau de menace de cette alerte à son maximum, soit 5 sur 5.

Pour obtenir les dernières informations concernant le suivi de cette vulnérabilité, vous pouvez consulter notre article expert ici (en Anglais). 

Le scénario de la cyberattaque

Deux vulnérabilités affectant les serveurs SharePoint ont été révélées lors d'une conférence de sécurité en mai 2025, puis corrigées en juillet 2025 : ces vulnérabilités permettent de contourner l'étape d'authentification et d'exécuter du code à distance, ce qui donne la possibilité de prendre le contrôle complet des instances SharePoint sur site.

Le 18 juillet, une campagne d'exploitation massive de ces failles a été découverte par une société de cybersécurité, Eye Security.

De plus, le 19 juillet, Microsoft a révélé qu'une variante de la cyberattaque initiale, récemment identifiée sous les noms CVE-2025-53770 et CVE-2025-53771, a été observée en situation réelle. Environ 10 000 serveurs SharePoint sont concernés et représentent un risque de compromission. Des dizaines d'instances piratées à travers le monde, principalement aux Etats-Unis, en Europe et en Asie, ont été identifiées.

Les versions SharePoint impactées

La cyberattaque repose sur un problème de « spoofing » - une technique permettant à l'attaquant de falsifier ou de masquer l'identité d'une source pour tromper un système, une application ou un utilisateur - lié à la façon dont l'application gère l'en-tête HTTP Referer fourni au point de terminaison ToolPane, ce qui permet l'exécution de code à distance.

Les versions vulnérables de SharePoint incluent :

  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019 ;
  • Microsoft SharePoint Server Subscription Edition (3SE)

Analyse de fond - 25.07

Microsoft a attribué l’exploitation active des deux séries de vulnérabilités zero-day de SharePoint à trois groupes de cyberattaquants liés à la Chine. Cette attribution repose sur des analyses techniques, comportementales et temporelles, avec des niveaux de confiance variables :

  • Linen Typhoon, également connu sous les noms APT27, TA428, etc., est un groupe d’espionnage cybernétique soutenu par l’Etat chinois, actif depuis plus d’une décennie. Il se concentre principalement sur le vol d’informations sensibles dans les secteurs gouvernemental, de la défense et des ONG ;
  • Violet Typhoon, également connu sous les noms APT31, Judgment Panda, etc. est un autre acteur chinois affilié à l’Etat, ciblant des entités politiques, des ONG, des médias et des institutions académiques dans des régions stratégiques telles que les Etats-Unis, l’Europe et l’Asie. Le ministère des Affaires étrangères tchèque a affirmé en mai dernier que le groupe avait tenté de pirater ses systèmes depuis 2022.
  • Storm-2603 est un nouveau groupe chinois suivi par Microsoft. Il n’a pas d’association formelle avec d’autres acteurs APT connus, mais a été observé dans plusieurs opérations récentes de ransomware (ou rançongiciel), notamment dans la diffusion de malwares de type Warlock.

Les données indiquent une campagne massive menée par plusieurs groupes aux capacités avancées, avec une première trace d'activité remontant au 7 juillet. Le fournisseur a identifié le déploiement d’un web shell ASPX nommé svc_handler0.aspx, svc_handler1.aspx ou svc_main.aspx. Le code de ce web shell correspond à des échantillons précédents liés à des attaques antérieures attribuées à Linen Typhoon, Violet Typhoon et Storm-2603. L’utilisation récurrente de ce fichier, avec une logique et des conventions de nommage identiques, renforce la connexion avec les campagnes antérieures.

L’attribution est également renforcée par la réutilisation d’infrastructures réseau connues, notamment des serveurs de commandement et de contrôle (C2) associés à ces acteurs malveillants. Des adresses IP ont été impliquées dans des communications post-exploitation déjà signalées par Microsoft au cours d’activités illicites antérieures. Ce chevauchement implique la réutilisation de serveurs compromis, ou bien un contrôle opérationnel partagé. Microsoft a également documenté l’utilisation d’un tunnel chiffré établi via le service ngrok, avec un point de terminaison spécifique utilisé pour implémenter un paquet PowerShell.

Les alertes déclenchées par Microsoft Defender étaient également basées sur des signatures TTP (techniques, tactiques et procédures) cohérentes avec le mode opératoire de ces trois groupes. Fait intéressant, Microsoft suggère que les attaques de Storm-2603 ont une motivation financière. Ce groupe a déployé un ransomware Warlock sur un serveur piraté et a déjà mené des campagnes avec des variantes de LockBit. Warlock est un ransomware actif depuis 2025, issu de la famille Chaos, connu pour ses capacités de chiffrement destructives mais peu sophistiquées. Ce malware chiffre les fichiers avec des extensions aléatoires et dépose une note de rançon nommée read_it.txt. Il n’utilise pas d’interface de négociation sophistiquée, ce qui suggère qu’il s’agit d’une campagne opportuniste plutôt que d’une infrastructure structurée de Ransomware-as-a-Service, malgré l’existence d’un site de fuite de données pour une double extorsion avec 19 victimes répertoriées à ce jour. Warlock a été observé ciblant des institutions gouvernementales, ainsi que des organisations industrielles, agricoles et éducatives. Parmi les victimes figurent Lactanet au Canada, la société d’ingénierie spatiale polonaise Astronika, et BTHK à Hong Kong. Pour rappel, la chaîne d’attaque initiale est composée de vulnérabilités divulguées de manière responsable : CVE-2025-49704 et CVE-2025-49706, ainsi que des variantes mineures identifiées ous l'appellation CVE-2025-53770 et CVE-2025-53771. Les correctifs déployés initialement ne permettaient pas de contrer totalement ces attaques. Selon Viettel, qui a découvert la vulnérabilité initiale, le contournement d’authentification CVE-2025-53771 pouvait simplement être exploité via :

  • /ToolPane.aspx/test.js
  • /ToolPane.aspx/anything

Un autre point d’accès que ToolPane.aspx pourrait également être utilisé, le répertoire SharePoint /_vti_bin continuant d’utiliser la classe ExcelDataSet, qui facilite éventuellement une exécution à distance (RCE). Cette découverte a été à l'orgine d'un nouveau patch pour adresser la vulnérabilité CVE-2025-53770. De nombreux détails techniques sur les vulnérabilités initiales sont détaillées dans un autre article partagé par Viettel.

En raison de la publication du code d’exploitation et de détails techniques supplémentaires concernant ces vulnérabilités, il faut s'attendre à une augmentation de cyberattaques opportunistes menées contre des systèmes vulnérables. De plus en plus de web shells sont découverts sur des instances, comme ghostfile<some digits>.aspx, détecté par ESET.

En fonction des sources, le nombre d’instances potentiellement compromises serait de quelques dizaines à plusieurs milliers. Eye Security et LeakIX estiment que plus de 400 serveurs pourraient avoir été compromis, sur la base d'une recherche de fichiers ASPX malveillants. Les informations publiques concernant les victimes sont rares, malgré la mention d’organismes gouvernementaux américains - dans des domaines aussi sensibles que la Santé, le Nucléaire ou l'Education - ou d’institutions européennes.

D’autres victimes, dans les secteurs de la justice, du gouvernement, de l’éducation ou de l’énergie sont également concernées. La première attaque identifiée pourrait remonter au 7 juillet. Depuis le 22 juillet dernier, l’équipe CSIRT d’Orange Cyberdefense mène plusieurs réponses à incident pour le compte de ses clients.

En conséquence, nous conservons la notation d'alerte maximale de 5 sur 5 concernant cette vulnérabilité.   

Nos recommandations

  1. Des correctifs sont désormais disponibles pour toutes les trois versions impactées et doivent être appliqués dès que possible
  2. Pour tous les clients, Microsoft recommande d'activer la fonctionnalité de sécurité AMSI qui empêche les serveurs SharePoint vulnérables d’être compromis en bloquant les requêtes non authentifiées exploitant la variante 0-day (CVE-2025-53770) ; 
  3. Si vous ne pouvez pas activer AMSI ou appliquer le correctif aujourd’hui, Microsoft recommande de déconnecter temporairement votre serveur d’Internet ; 
  4. Une recommandation supplémentaire consiste à mettre à jour par précaution les clés cryptographiques ASP.NET de SharePoint Server par précaution ; 
  5. De plus, nous rappelons aux administrateurs de surveiller toutes les requêtes de type POST (des requêtes HTTP utilisées par des browsers web et applications pour envoyer des données vers un serveur) ciblant /_layouts/15/ToolPane.aspx?DisplayMode=Edit.

Les serveurs vulnérables doivent être corrigés rapidement, car les attaquants recherchent activement des serveurs SharePoint vulnérables à exploiter. Si vous ne pouvez pas appliquer le correctif, nos recommandations restent celles indiquées dans notre avis initial. Il est fortement conseillé de rechercher des tentatives d’exploitation / intrusion. Veuillez consulter les recommandations de Microsoftpour plus d’informations sur l'application de patch ou technique de remédiation de la menace.

Pour obtenir les dernières informations concernant le suivi de cette vulnérabilité, vous pouvez consulter notre article expert ici (en Anglais). 

Réponse à incident

Vous faites face à une cyberattaque ?

Nos experts sont joignables 24h/24, 7j/7.

Contactez l'assistance