Eye Security a découvert une vulnérabilité 0-day critique dans SharePoint, identifiée comme CVE-2025-53770 et CVE-2025-53771, permettant une exécution de code à distance (RCE) sans authentification. Cette faille a été exploitée à grande échelle, compromettant plus de 400 systèmes à travers plusieurs vagues d’attaques.
Les attaques ont commencé le 17 juillet 2025, avec une première vague détectée à partir de l’adresse IP 96.9.125[.]147. Les vagues suivantes ont été observées les 18, 19, et 21 juillet, avec des scripts d’exploitation publiés sur GitHub. Microsoft a publié des correctifs pour les versions vulnérables de SharePoint Server 2016/2019, mais les versions plus anciennes restent vulnérables.
Les attaquants ont utilisé un outil appelé ToolShell, exploitant une chaîne de vulnérabilités démontrée lors de l’événement Pwn2Own Berlin. Le vecteur d’attaque impliquait le vol de clés cryptographiques ASP.NET, permettant de créer des requêtes __VIEWSTATE signées pour exécuter du code arbitraire.
Eye Security a mené une analyse approfondie, découvrant des fichiers ASPX malveillants conçus pour extraire des secrets cryptographiques. Les indicateurs de compromission (IOCs) incluent plusieurs adresses IP, des chemins d’accès spécifiques, et des empreintes de fichiers malveillants.
Cet article est un rapport d’incident détaillant l’exploitation active de la vulnérabilité et fournissant des recommandations de sécurité pour atténuer les risques.
🔗 Source originale : https://research.eye.security/sharepoint-under-siege/