
Alerte de cybersécurité critique : exploits ciblant les serveurs SharePoint sur site
Le week-end dernier, plusieurs agences de cybersécurité ont dévoilé une série de cyberattaques ciblant spécifiquement les environnements SharePoint Server sur site, exploitant des vulnérabilités non corrigées. Notamment, la vulnérabilité CVE-2025-53770, communément appelée ToolShell, permet un accès non autorisé aux serveurs SharePoint.
Réponse de Microsoft aux menaces actives
Microsoft est conscient de ces exploits actifs et a confirmé que des mesures d’atténuation partielles ont été mises en œuvre dans sa mise à jour de sécurité de juillet. Il est important de noter que ces vulnérabilités affectent strictement les installations SharePoint Server sur site, et que les clients utilisant SharePoint Online via Microsoft 365 ne sont pas concernés.
Accès aux mises à jour de sécurité
Les organisations peuvent obtenir la mise à jour de sécurité de juillet adaptée à leurs systèmes via les liens suivants :
- Microsoft SharePoint Server, édition d’abonnement – KB5002768
- Microsoft SharePoint Server 2019 – KB5002754
Stratégies d’atténuation recommandées
Pendant qu’un correctif complet est en cours d’élaboration, les utilisateurs sont encouragés à adopter les mesures préventives suivantes :
- Utilisez les versions prises en charge de SharePoint Server sur site.
- Installez toutes les mises à jour de sécurité disponibles, en vous concentrant sur la mise à jour de sécurité de juillet 2025.
- Activez et configurez correctement l’interface d’analyse anti-programme malveillant (AMSI), en vous assurant qu’une solution antivirus compatible est en place, telle que Microsoft Defender Antivirus.
- Implémentez Microsoft Defender pour la protection des points de terminaison ou une solution comparable de détection des menaces sur les points de terminaison.
- Faites régulièrement pivoter les clés de la machine ASP. NET pour SharePoint Server.
Détection et identification des menaces
L’antivirus Microsoft Defender est capable d’identifier si un serveur est affecté par cette faille de sécurité. Les systèmes concernés peuvent être signalés sous les noms de détection suivants :
- Exploit : Script/SuspSignoutReq. A
- Cheval de Troie : Win32/HijackSharePointServer. A
Résultats de recherche et appel urgent à l’action
« Notre analyse a consisté à analyser plus de 8 000 serveurs SharePoint dans le monde, découvrant plusieurs cas de compromissions actives, notamment autour du 18 juillet à 18h00 UTC et du 19 juillet à 07h30 UTC », a déclaré le cabinet de recherche en cybersécurité Eye.
Compte tenu de la nature critique de cette vulnérabilité, il est impératif pour tous les administrateurs de SharePoint sur site de mettre en œuvre les dernières mises à jour de sécurité et d’adhérer strictement aux stratégies d’atténuation recommandées sans délai.
Laisser un commentaire