L’article de Microsoft Security met en lumière l’exploitation active de vulnérabilités critiques dans les serveurs SharePoint sur site, identifiées comme CVE-2025-49706 et CVE-2025-49704, par des acteurs malveillants. Ces vulnérabilités permettent des attaques de spoofing et d’exécution de code à distance, affectant uniquement les serveurs SharePoint sur site et non SharePoint Online.
Microsoft a publié des mises à jour de sécurité pour protéger contre ces vulnérabilités, mais avertit que des groupes d’acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, ainsi qu’un acteur nommé Storm-2603, exploitent activement ces failles pour déployer des ransomwares tels que Warlock.
Les indicateurs de compromission (IOCs) incluent des fichiers malveillants comme spinstall0.aspx et des adresses IP spécifiques utilisées pour les communications post-exploitation. Les techniques et tactiques observées incluent l’utilisation de web shells, l’extraction de données sensibles, et la propagation latérale à travers des outils comme PsExec et Mimikatz.
Microsoft recommande d’appliquer immédiatement les mises à jour de sécurité, de configurer l’Antimalware Scan Interface (AMSI), de déployer Microsoft Defender for Endpoint, et de suivre un ensemble de mesures de protection pour atténuer ces attaques.
Cet article est une alerte de sécurité visant à informer les administrateurs système et les professionnels de la sécurité des risques actuels et des actions nécessaires pour protéger les infrastructures SharePoint.
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/