Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server.
Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé.
La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés.
Les vulnérabilités éliminent le besoin d’authentification, permettant aux attaquants de contourner la nécessité de signatures valides. Microsoft recommande d’activer AMSI pour les systèmes non corrigés et de faire tourner les clés machine ASP.NET après la remédiation.
Cisco Talos fournit une couverture de détection via Snort SID 65092 pour les tentatives d’exploitation et SID 65183 pour le déploiement de webshell associé. L’article est une analyse technique détaillant les vulnérabilités et les recommandations de sécurité.
🧠 TTP et IOC détecté
TTP
Exploitation de vulnérabilités (T1203), Exécution de code à distance (T1059), Traversée de répertoires (T1006), Déploiement de webshell (T1505.003), Contournement de l’authentification (T1556)
IOC
Snort SID 65092, Snort SID 65183
🔗 Source originale : https://blog.talosintelligence.com/toolshell-affecting-sharepoint-servers/