L’article publié par SentinelOne met en lumière une exploitation active de la vulnérabilité CVE-2025-53770, surnommée ‘ToolShell’, qui affecte les serveurs SharePoint sur site. Cette vulnérabilité est actuellement utilisée par des acteurs malveillants pour cibler des organisations de haute valeur dans les secteurs de la technologie, de la fabrication et des infrastructures critiques.
L’exploitation de ‘ToolShell’ combine les vulnérabilités CVE-2025-49704 et CVE-2025-49706 pour obtenir une exécution de code à distance (RCE) non authentifiée via des requêtes POST spécialement conçues. Trois clusters d’attaques distincts ont été identifiés :
- ‘xxx.aspx’ : déploie un webshell interactif avec capacité de téléchargement de fichiers.
- ‘spinstall0.aspx’ : extrait des matériaux cryptographiques MachineKey des configurations SharePoint.
- ’no shell’ : utilise une exécution avancée de l’assemblage .NET sans fichier pour éviter les artefacts sur disque.
Tous les clusters ciblent le répertoire LAYOUTS de SharePoint pour le déploiement des webshells, avec des niveaux de sophistication variés allant de l’exploration manuelle à la récolte automatisée de crédentiels.
Des patchs d’urgence sont disponibles, et il est recommandé aux organisations de mettre en œuvre des mesures de mitigation immédiates, y compris la détection AMSI et la rotation des clés de machine. Cet article est un rapport de vulnérabilité visant à informer sur les attaques en cours et les mesures de sécurité nécessaires.
🔗 Source originale : https://www.sentinelone.com/blog/sharepoint-toolshell-zero-day-exploited-in-the-wild-targets-enterprise-servers/