L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site.
Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes.
Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell.
L’attaque laisse peu de traces forensiques mais peut être détectée par la surveillance du système de fichiers pour le fichier spinstall0.aspx et la surveillance réseau pour des adresses IP malveillantes connues.
Cet article est une analyse technique visant à alerter sur la menace active et à encourager la mise à jour des systèmes vulnérables.
🧠 TTP et IOC détecté
TTP
Exploitation des vulnérabilités pour l’exécution de code à distance, utilisation de web shells, désérialisation non sécurisée, exécution de commandes PowerShell
IOC
Fichier spinstall0.aspx, adresses IP malveillantes connues
🔗 Source originale : https://www.varonis.com/blog/toolshell-sharepoint-rce
🖴 Archive : https://web.archive.org/web/20250722100532/https://www.varonis.com/blog/toolshell-sharepoint-rce