Les rapports du CERT : découverte d'une vulnérabilité Zero-Day dans Sharepoint

L'essentiel de votre hack'tu cybersécurité

• Les cyberattaquants exploitent activement des serveurs Microsoft SharePoint locaux exposés à Internet en ciblant plusieurs vulnérabilités 0-day, CVE-2025-53770 et CVE-2025-53771, dans un ordre précis. L'exploitation de cette chaîne peut permettre une exécution de code à distance et sans authentification ; 
• Environ 10 000 serveurs SharePoint accessibles depuis Internet présentent un risque de compromission.
• Les instances de SharePoint Online et les serveurs SharePoint utilisant la fonctionnalité de sécurité AMSI ne sont pas impactées par cette vulnérabilité 0-day ; 
• Microsoft a publié des correctifs pour Microsoft SharePoint Server 2019 et SharePoint Server Subscription Edition (3SE). Microsoft SharePoint Enterprise Server 2016 est également concerné, mais aucun correctif n’est encore disponible ; 
• L'ensemble de vulnérabilités exploité, CVE-2025-53770 et CVE-2025-53771, est une variation de deux autres vulnerabilités, CVE-2025-49706 et CVE-2025-49704 qui ont été divulguées en mai 2025 lors de la conférence Pwn2Own conference qui s'est tenue à Berlin.

Le scénario de la cyberattaque

Deux vulnérabilités affectant les serveurs SharePoint ont été révélées lors d'une conférence de sécurité en mai 2025, puis corrigées en juillet 2025 : ces vulnérabilités permettent de contourner l'étape d'authentification et d'exécuter du code à distance, ce qui donne la possibilité de prendre le contrôle complet des instances SharePoint sur site.

Le 18 juillet, une campagne d'exploitation massive de ces failles a été découverte par une société de cybersécurité, Eye Security.

De plus, le 19 juillet, Microsoft a révélé qu'une variante de la cyberattaque initiale, récemment identifiée sous les noms CVE-2025-53770 et CVE-2025-53771, a été observée en situation réelle. Environ 10 000 serveurs SharePoint sont concernés et représentent un risque de compromission. Des dizaines d'instances piratées à travers le monde, principalement aux Etats-Unis, en Europe et en Asie, ont été identifiées.

Les versions SharePoint impactées

La cyberattaque repose sur un problème de « spoofing » - une technique permettant à l'attaquant de falsifier ou de masquer l'identité d'une source pour tromper un système, une application ou un utilisateur - lié à la façon dont l'application gère l'en-tête HTTP Referer fourni au point de terminaison ToolPane, ce qui permet l'exécution de code à distance.

Les versions vulnérables de SharePoint incluent :

• Microsoft SharePoint Enterprise Server 2016 ; 
• Microsoft SharePoint Server 2019 ;
• Microsoft SharePoint Server Subscription Edition (3SE). 

Nos recommandations

• Des correctifs sont disponibles depuis aujourd'hui pour deux des trois versions concernées - Server 2019 et 3SE - et doivent être appliqués dès que possible ;
• Pour tous les clients, Microsoft recommande d'activer la fonctionnalité de sécurité AMSI, qui empêche les serveurs SharePoint vulnérables d’être compromis en bloquant les requêtes non authentifiées exploitant la variante 0-day (CVE-2025-53770) ; 
• Si vous ne pouvez pas activer AMSI ou appliquer le correctif aujourd'hui, Microsoft recommande de déconnecter temporairement votre serveur d'Internet ; 
• Une recommandation supplémentaire consiste à effectuer par précaution une rotation des clés cryptographiques ASP.NET du serveur SharePoint.

Notre rapport détaillé sur ces vulnérabilités est disponible pour les abonnés du service World Watch ici et ici. Les clients de notre Datalake peuvent quant à eux accéder aux Indicateurs de Compromission (IoC) ici.