L’article publié le 20 juillet 2025 met en lumière une vulnérabilité zero-day critique identifiée sous le code CVE-2025-53770, affectant Microsoft SharePoint Server. Cette vulnérabilité est activement exploitée à grande échelle et pourrait potentiellement toucher des milliers de serveurs accessibles publiquement.
La faille permet une exécution de code à distance non authentifiée en permettant aux attaquants d’obtenir des détails de configuration MachineKey. Malgré la publication par Microsoft de directives d’atténuation, aucun correctif n’est actuellement disponible. Les organisations sont encouragées à mettre en œuvre les atténuations recommandées, notamment l’intégration AMSI et une surveillance accrue pour détecter des indicateurs de compromission tels que la création de fichiers ‘spinstall0.aspx’.
Techniquement, CVE-2025-53770 est une variante de CVE-2025-49706, permettant aux attaquants d’extraire des détails de configuration MachineKey via des requêtes spécialement conçues. La vulnérabilité est notée 9.8 (Critique) sur l’échelle CVSS v3.1 et permet une compromission complète du système sans authentification. Elle est distincte mais liée à la chaîne d’exploitation ToolShell (CVE-2025-49704/49706) dévoilée lors de Pwn2Own Berlin.
Les indicateurs de compromission incluent la création de fichiers ‘spinstall0.aspx’.
Cet article constitue un rapport de vulnérabilité visant à informer sur la gravité de la menace et à recommander des mesures d’atténuation immédiates.
🔗 Source originale : https://www.tenable.com/blog/cve-2025-53770-frequently-asked-questions-about-zero-day-sharepoint-vulnerability-exploitation