SharePoint

Eye Security a découvert une vulnérabilité 0-day critique dans SharePoint, identifiée comme CVE-2025-53770 et CVE-2025-53771, permettant une exécution de code à distance (RCE) sans authentification. Cette faille a été exploitée à grande échelle, compromettant plus de 400 systèmes à travers plusieurs vagues d’attaques. Les attaques ont commencé le 17 juillet 2025, avec une première vague détectée à partir de l’adresse IP 96.9.125[.]147. Les vagues suivantes ont été observées les 18, 19, et 21 juillet, avec des scripts d’exploitation publiés sur GitHub. Microsoft a publié des correctifs pour les versions vulnérables de SharePoint Server 2016/2019, mais les versions plus anciennes restent vulnérables. ...

L’article de Microsoft Security met en lumière l’exploitation active de vulnérabilités critiques dans les serveurs SharePoint sur site, identifiées comme CVE-2025-49706 et CVE-2025-49704, par des acteurs malveillants. Ces vulnérabilités permettent des attaques de spoofing et d’exécution de code à distance, affectant uniquement les serveurs SharePoint sur site et non SharePoint Online. Microsoft a publié des mises à jour de sécurité pour protéger contre ces vulnérabilités, mais avertit que des groupes d’acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, ainsi qu’un acteur nommé Storm-2603, exploitent activement ces failles pour déployer des ransomwares tels que Warlock. ...

L’article de Reuters rapporte une faille critique dans le logiciel SharePoint de Microsoft, identifiée lors d’une compétition de hacking en mai. Cette vulnérabilité a été partiellement corrigée par Microsoft, mais la première solution n’a pas suffi à empêcher une campagne mondiale de cyberespionnage. Au cours du week-end, environ 100 organisations ont été compromises, et l’attaque pourrait s’étendre à mesure que d’autres hackers s’y intéressent. Microsoft a publié de nouvelles mises à jour pour résoudre le problème. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

L’article publié par SentinelOne met en lumière une exploitation active de la vulnérabilité CVE-2025-53770, surnommée ‘ToolShell’, qui affecte les serveurs SharePoint sur site. Cette vulnérabilité est actuellement utilisée par des acteurs malveillants pour cibler des organisations de haute valeur dans les secteurs de la technologie, de la fabrication et des infrastructures critiques. L’exploitation de ‘ToolShell’ combine les vulnérabilités CVE-2025-49704 et CVE-2025-49706 pour obtenir une exécution de code à distance (RCE) non authentifiée via des requêtes POST spécialement conçues. Trois clusters d’attaques distincts ont été identifiés : ...

Unit 42, une entité de recherche en cybersécurité, a publié un rapport sur l’exploitation active de quatre vulnérabilités critiques dans Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Ces failles permettent à des attaquants non authentifiés de contourner les contrôles de sécurité et d’exécuter des commandes arbitraires sur les serveurs SharePoint sur site. Les secteurs gouvernemental, de la santé et des entreprises sont particulièrement ciblés par ces attaques. Il est impératif pour les organisations de corriger immédiatement les systèmes vulnérables, de faire tourner le matériel cryptographique, et de faire appel à des équipes de réponse aux incidents, car le simple correctif ne suffit pas à éliminer les menaces établies. ...

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

L’article publié par Qualys Research met en lumière une alerte critique concernant des vulnérabilités zero-day dans Microsoft SharePoint Server. Microsoft a émis des correctifs d’urgence pour deux vulnérabilités activement exploitées : CVE-2025-53770, une vulnérabilité critique d’exécution de code à distance (RCE) avec un score CVSS de 9.8, et CVE-2025-53771, une vulnérabilité de falsification de gravité moyenne avec un score CVSS de 6.3. Ces failles affectent les versions SharePoint Server Subscription Edition, 2019 et 2016. ...

L’article de krebsonsecurity.com informe que Microsoft a publié une mise à jour de sécurité d’urgence pour une vulnérabilité critique dans SharePoint Server le 20 juillet 2025. Cette faille, identifiée comme CVE-2025-53770, est activement exploitée par des attaquants pour compromettre des organisations, y compris des agences fédérales américaines, des universités et des entreprises du secteur énergétique. La CISA confirme que la vulnérabilité est une variante d’une faille antérieurement corrigée (CVE-2025-49706) et précise que seuls les serveurs SharePoint sur site sont concernés, excluant SharePoint Online et Microsoft 365. Les attaquants utilisent un cheval de Troie nommé ToolShell pour obtenir un accès non authentifié à distance aux systèmes compromis. ...

L’article publié par BleepingComputer informe que Microsoft a diffusé des mises à jour de sécurité d’urgence pour deux vulnérabilités zero-day critiques dans SharePoint. Ces vulnérabilités sont suivies sous les identifiants CVE-2025-53770 et CVE-2025-53771. Les failles ont été exploitées dans des attaques nommées ‘ToolShell’, affectant des services à l’échelle mondiale. Les détails techniques des vulnérabilités ne sont pas précisés dans l’article, mais leur exploitation pourrait avoir un impact significatif sur les infrastructures utilisant SharePoint. ...