Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA.
🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées.
🧪 Synthèse technique: la vulnérabilité permet aux attaquants de passer d’un premier point d’appui à des étapes avancées de la chaîne d’attaque. La détection doit se concentrer sur les tentatives d’authentification inhabituelles, l’activité de web shell et les comportements anormaux des processus SharePoint.
🛡️ Mesures de réduction du risque: le rapport met en avant l’application immédiate des correctifs Microsoft ou des mesures de contournement publiées par la CISA lorsque la mise à jour n’est pas possible rapidement, ainsi que la validation de l’exposition, la chasse aux signes de compromission et le renforcement des capacités de détection continue/MDR.
🕵️ TTPs observés:
- Scan automatisé de serveurs SharePoint exposés
- Exploitation manuelle post‑scan (hands‑on‑keyboard)
- Déploiement de web shells
- Mouvement latéral
- Collecte/vol d’identifiants
- Surveillance recommandée: authentifications anormales, activité web shell, processus SharePoint suspects
Cet article est une analyse de menace visant à informer sur l’état de l’exploitation, les techniques adverses observées et les priorités de correction pour les organisations concernées.
🧠 TTPs et IOCs détectés
TTPs
Scan automatisé de serveurs SharePoint exposés, Exploitation manuelle post-scan (hands-on-keyboard), Déploiement de web shells, Mouvement latéral, Collecte/vol d’identifiants, Authentifications anormales, Activité web shell, Processus SharePoint suspects
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.rapid7.com/blog/post/tr-microsoft-sharepoint-zero-day-exploitation-what-public-sector-leaders-should-know