Unit 42, une entité de recherche en cybersécurité, a publié un rapport sur l’exploitation active de quatre vulnérabilités critiques dans Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Ces failles permettent à des attaquants non authentifiés de contourner les contrôles de sécurité et d’exécuter des commandes arbitraires sur les serveurs SharePoint sur site.
Les secteurs gouvernemental, de la santé et des entreprises sont particulièrement ciblés par ces attaques. Il est impératif pour les organisations de corriger immédiatement les systèmes vulnérables, de faire tourner le matériel cryptographique, et de faire appel à des équipes de réponse aux incidents, car le simple correctif ne suffit pas à éliminer les menaces établies.
Les vulnérabilités permettent une exécution de code à distance non authentifiée sur SharePoint Enterprise Server 2016/2019 et Subscription Edition. Trois variantes d’exploitation distinctes ont été observées : la collecte de fichiers web.config via des fichiers debug_dev.js, le déploiement de web shells pour l’extraction de clés ViewState, et l’exécution de PowerShell encodée en Base64.
Les attaquants déploient des portes dérobées persistantes, volent des clés cryptographiques et contournent les contrôles MFA/SSO. Les agents Cortex XDR 8.7+ avec des versions de contenu spécifiques peuvent détecter et bloquer ces attaques.
Cet article est une analyse technique visant à informer sur les vulnérabilités et les techniques d’exploitation observées, avec un appel à l’action pour renforcer la sécurité des systèmes affectés.
🧠 TTP et IOC détecté
TTP
Exploitation des vulnérabilités (T1190), Exécution de code à distance (T1203), Déploiement de web shells (T1505.003), Extraction de fichiers de configuration (T1602), Utilisation de PowerShell encodé (T1059.001), Vol de clés cryptographiques (T1552.001), Contournement des contrôles MFA/SSO (T1556.003), Déploiement de portes dérobées persistantes (T1505)
IOC
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse technique fournie.
🔗 Source originale : https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/