Global

L’article de Reuters rapporte une faille critique dans le logiciel SharePoint de Microsoft, identifiée lors d’une compétition de hacking en mai. Cette vulnérabilité a été partiellement corrigée par Microsoft, mais la première solution n’a pas suffi à empêcher une campagne mondiale de cyberespionnage. Au cours du week-end, environ 100 organisations ont été compromises, et l’attaque pourrait s’étendre à mesure que d’autres hackers s’y intéressent. Microsoft a publié de nouvelles mises à jour pour résoudre le problème. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM. Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue. ...

L’article publié par SentinelOne met en lumière une exploitation active de la vulnérabilité CVE-2025-53770, surnommée ‘ToolShell’, qui affecte les serveurs SharePoint sur site. Cette vulnérabilité est actuellement utilisée par des acteurs malveillants pour cibler des organisations de haute valeur dans les secteurs de la technologie, de la fabrication et des infrastructures critiques. L’exploitation de ‘ToolShell’ combine les vulnérabilités CVE-2025-49704 et CVE-2025-49706 pour obtenir une exécution de code à distance (RCE) non authentifiée via des requêtes POST spécialement conçues. Trois clusters d’attaques distincts ont été identifiés : ...

Unit 42, une entité de recherche en cybersécurité, a publié un rapport sur l’exploitation active de quatre vulnérabilités critiques dans Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Ces failles permettent à des attaquants non authentifiés de contourner les contrôles de sécurité et d’exécuter des commandes arbitraires sur les serveurs SharePoint sur site. Les secteurs gouvernemental, de la santé et des entreprises sont particulièrement ciblés par ces attaques. Il est impératif pour les organisations de corriger immédiatement les systèmes vulnérables, de faire tourner le matériel cryptographique, et de faire appel à des équipes de réponse aux incidents, car le simple correctif ne suffit pas à éliminer les menaces établies. ...

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

L’article publié par Project Black met en lumière l’efficacité du filtrage web basé sur DNS comme mesure de sécurité. Cette méthode utilise des fournisseurs axés sur la sécurité, tels que Cloudflare, pour résoudre les domaines malveillants en les redirigeant vers des adresses non routables. L’implémentation de cette solution peut se faire via la configuration DHCP des routeurs pour une couverture réseau étendue, la configuration de DNS forwarder sur les contrôleurs de domaine Active Directory, et des scripts PowerShell pour les postes de travail nomades. Cela permet de basculer dynamiquement entre les DNS internes et externes selon le contexte réseau. ...

L’actualité, publiée le 21 juillet 2025, rapporte une attaque majeure de la chaîne d’approvisionnement qui a compromis des packages NPM populaires. Cette attaque a permis l’installation du malware ‘pycoon’ sur les systèmes Windows. Les attaquants ont réussi en phishant les mainteneurs de packages NPM, publiant ensuite des versions malveillantes de packages légitimes tels que eslint-config-prettier et eslint-plugin-prettier. Cette attaque met en lumière des faiblesses critiques dans les outils d’analyse de composition logicielle (SCA) et les systèmes de conseil en sécurité, car des fournisseurs majeurs comme Snyk et GitHub n’ont pas réussi à signaler correctement les packages malveillants. ...

Cet article publié sur Medium par le @knownsec404team analyse la vulnérabilité critique CVE-2025-5777, surnommée CitrixBleed 2, qui affecte les produits Citrix NetScaler ADC et Gateway. Cette vulnérabilité a un score CVSS de 9.3, indiquant sa gravité élevée. La vulnérabilité provient d’une validation d’entrée insuffisante dans la logique de parsing d’authentification, permettant aux attaquants d’extraire des contenus mémoire sensibles tels que des identifiants et des tokens de session via des requêtes HTTP spécialement conçues. ...

L’article publié le 20 juillet 2025 met en lumière une vulnérabilité zero-day critique identifiée sous le code CVE-2025-53770, affectant Microsoft SharePoint Server. Cette vulnérabilité est activement exploitée à grande échelle et pourrait potentiellement toucher des milliers de serveurs accessibles publiquement. La faille permet une exécution de code à distance non authentifiée en permettant aux attaquants d’obtenir des détails de configuration MachineKey. Malgré la publication par Microsoft de directives d’atténuation, aucun correctif n’est actuellement disponible. Les organisations sont encouragées à mettre en œuvre les atténuations recommandées, notamment l’intégration AMSI et une surveillance accrue pour détecter des indicateurs de compromission tels que la création de fichiers ‘spinstall0.aspx’. ...