Chaîne d'exploit ToolShell : Exécution de code à distance sur SharePoint

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

22 juillet 2025 · 1 min

Cyberattaque majeure contre Gazprom par l'agence de renseignement militaire ukrainienne

Selon le Kyiv Independent, des spécialistes en cybernétique de l’agence de renseignement militaire ukrainienne (HUR) auraient orchestré une cyberattaque de grande envergure contre l’infrastructure réseau du géant énergétique russe Gazprom le 17 juillet. L’attaque aurait causé des perturbations significatives en détruisant de grands volumes de données et en installant des logiciels personnalisés visant à endommager davantage les systèmes d’information de l’entreprise. Gazprom, une entreprise d’État russe et l’un des plus grands producteurs et exportateurs de gaz au monde, n’a pas encore commenté publiquement cet incident, et ces informations n’ont pas pu être vérifiées de manière indépendante par le Kyiv Independent. ...

22 juillet 2025 · 1 min

Évolution des tactiques du groupe Mimo ciblant Magento via des vulnérabilités PHP-FPM

Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM. Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue. ...

22 juillet 2025 · 2 min

Exploitation active de la vulnérabilité 'ToolShell' sur les serveurs SharePoint

L’article publié par SentinelOne met en lumière une exploitation active de la vulnérabilité CVE-2025-53770, surnommée ‘ToolShell’, qui affecte les serveurs SharePoint sur site. Cette vulnérabilité est actuellement utilisée par des acteurs malveillants pour cibler des organisations de haute valeur dans les secteurs de la technologie, de la fabrication et des infrastructures critiques. L’exploitation de ‘ToolShell’ combine les vulnérabilités CVE-2025-49704 et CVE-2025-49706 pour obtenir une exécution de code à distance (RCE) non authentifiée via des requêtes POST spécialement conçues. Trois clusters d’attaques distincts ont été identifiés : ...

22 juillet 2025 · 2 min

Exploitation active de vulnérabilités critiques dans Microsoft SharePoint

Unit 42, une entité de recherche en cybersécurité, a publié un rapport sur l’exploitation active de quatre vulnérabilités critiques dans Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Ces failles permettent à des attaquants non authentifiés de contourner les contrôles de sécurité et d’exécuter des commandes arbitraires sur les serveurs SharePoint sur site. Les secteurs gouvernemental, de la santé et des entreprises sont particulièrement ciblés par ces attaques. Il est impératif pour les organisations de corriger immédiatement les systèmes vulnérables, de faire tourner le matériel cryptographique, et de faire appel à des équipes de réponse aux incidents, car le simple correctif ne suffit pas à éliminer les menaces établies. ...

22 juillet 2025 · 2 min

Exploitation active de vulnérabilités critiques sur SharePoint Server

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

22 juillet 2025 · 1 min

Filtrage web basé sur DNS pour une protection efficace contre les menaces

L’article publié par Project Black met en lumière l’efficacité du filtrage web basé sur DNS comme mesure de sécurité. Cette méthode utilise des fournisseurs axés sur la sécurité, tels que Cloudflare, pour résoudre les domaines malveillants en les redirigeant vers des adresses non routables. L’implémentation de cette solution peut se faire via la configuration DHCP des routeurs pour une couverture réseau étendue, la configuration de DNS forwarder sur les contrôleurs de domaine Active Directory, et des scripts PowerShell pour les postes de travail nomades. Cela permet de basculer dynamiquement entre les DNS internes et externes selon le contexte réseau. ...

22 juillet 2025 · 1 min

Fuite de données massive chez Dell : 1,3 To de fichiers exposés par World Leaks

Selon un article publié par HackRead, le groupe de cybercriminels anciennement connu sous le nom de Hunters International, désormais appelé World Leaks, a revendiqué une fuite massive de données provenant de l’entreprise Dell. Ce groupe a affirmé avoir exfiltré 1,3 téraoctets de données, incluant plus de 400 000 fichiers. Parmi ces fichiers se trouvent des outils internes de Dell ainsi que des données utilisateur sensibles. Cette fuite représente une menace significative pour la sécurité des données, mettant potentiellement en péril la confidentialité et l’intégrité des informations personnelles et professionnelles des utilisateurs de Dell. ...

22 juillet 2025 · 1 min

APT41 cible les services informatiques gouvernementaux en Afrique

L’article publié par Kaspersky met en lumière une attaque ciblée menée par le groupe APT41 contre des services informatiques gouvernementaux en Afrique. APT41, un groupe de cybercriminels connu pour ses attaques sophistiquées, a récemment ciblé les infrastructures informatiques de plusieurs gouvernements africains. L’attaque a été détectée et analysée par les experts en cybersécurité de Kaspersky, qui ont identifié des signes clairs d’une opération bien orchestrée. Les services IT gouvernementaux ont été spécifiquement visés, ce qui souligne l’importance pour ces entités de renforcer leurs mesures de sécurité. Les détails techniques de l’attaque, y compris les méthodes utilisées par APT41, ont été examinés pour mieux comprendre l’ampleur et l’impact potentiel de cette cyberattaque. ...

21 juillet 2025 · 1 min

Mises à jour d'urgence pour des vulnérabilités zero-day dans SharePoint

L’article publié par BleepingComputer informe que Microsoft a diffusé des mises à jour de sécurité d’urgence pour deux vulnérabilités zero-day critiques dans SharePoint. Ces vulnérabilités sont suivies sous les identifiants CVE-2025-53770 et CVE-2025-53771. Les failles ont été exploitées dans des attaques nommées ‘ToolShell’, affectant des services à l’échelle mondiale. Les détails techniques des vulnérabilités ne sont pas précisés dans l’article, mais leur exploitation pourrait avoir un impact significatif sur les infrastructures utilisant SharePoint. ...

21 juillet 2025 · 1 min
Dernière mise à jour le: 12 juillet 2026 📝