Vulnérabilité

Selon un article de The Register, une vulnérabilité zero-day a été exploitée dans Microsoft SharePoint, malgré les correctifs de sécurité publiés par Microsoft. Cette exploitation a été rendue possible par une fuite d’informations concernant les vulnérabilités, permettant à des acteurs malveillants, y compris des espions chinois et des opérateurs de ransomware, de contourner les correctifs. L’incident a débuté lors de la compétition Pwn2Own à Berlin, où un chercheur vietnamien a démontré une exploitation réussie de SharePoint, remportant 100 000 $. Microsoft a reçu un rapport détaillé de l’exploit, mais les vulnérabilités ont été divulguées avant que les correctifs ne soient pleinement efficaces. ...

L’article publié sur BleepingComputer met en lumière une vulnérabilité critique affectant plus de 200 000 sites WordPress utilisant le plugin Post SMTP. Cette faille permettrait à des hackers de prendre le contrôle du compte administrateur des sites touchés. Le plugin Post SMTP est largement utilisé pour configurer les paramètres SMTP sur les sites WordPress, ce qui en fait une cible de choix pour les attaquants cherchant à exploiter des failles de sécurité. La vulnérabilité en question permettrait à un attaquant d’exécuter des actions avec les privilèges d’un compte administrateur, compromettant ainsi la sécurité des sites affectés. ...

L’actualité publiée par Forescout met en lumière une augmentation significative des attaques sur les appareils d’infrastructure réseau interne, avec une hausse des exploits passant de 3% en 2022 à 14% en 2024. Des vulnérabilités critiques ont été découvertes dans les appareils Citrix NetScaler (CVE-2025-6543, CVE-2025-5777) et Cisco ISE (CVE-2025-20281, CVE-2025-20282, CVE-2025-20337), démontrant un changement de tactique des attaquants, qui passent d’une exploitation uniquement axée sur le périmètre à une exploitation des appareils internes au réseau. ...

L’article, publié par Mandiant, analyse les risques critiques liés à l’intégration de VMware vSphere avec Active Directory, en particulier face aux attaques par ransomware. VMware vSphere est largement utilisé pour la virtualisation des infrastructures privées, mais l’intégration directe avec Microsoft Active Directory (AD), bien qu’elle simplifie la gestion, étend la surface d’attaque de l’AD au niveau de l’hyperviseur. Cette configuration peut transformer un compromis d’identifiants AD en une menace majeure pour l’infrastructure virtualisée. ...

Eye Security a découvert une vulnérabilité 0-day critique dans SharePoint, identifiée comme CVE-2025-53770 et CVE-2025-53771, permettant une exécution de code à distance (RCE) sans authentification. Cette faille a été exploitée à grande échelle, compromettant plus de 400 systèmes à travers plusieurs vagues d’attaques. Les attaques ont commencé le 17 juillet 2025, avec une première vague détectée à partir de l’adresse IP 96.9.125[.]147. Les vagues suivantes ont été observées les 18, 19, et 21 juillet, avec des scripts d’exploitation publiés sur GitHub. Microsoft a publié des correctifs pour les versions vulnérables de SharePoint Server 2016/2019, mais les versions plus anciennes restent vulnérables. ...

L’article de Microsoft Security met en lumière l’exploitation active de vulnérabilités critiques dans les serveurs SharePoint sur site, identifiées comme CVE-2025-49706 et CVE-2025-49704, par des acteurs malveillants. Ces vulnérabilités permettent des attaques de spoofing et d’exécution de code à distance, affectant uniquement les serveurs SharePoint sur site et non SharePoint Online. Microsoft a publié des mises à jour de sécurité pour protéger contre ces vulnérabilités, mais avertit que des groupes d’acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, ainsi qu’un acteur nommé Storm-2603, exploitent activement ces failles pour déployer des ransomwares tels que Warlock. ...

Arctic Wolf a signalé une vulnérabilité critique de contournement d’authentification dans le Mitel MiVoice MX-ONE Provisioning Manager. Cette faille permet à des attaquants distants non authentifiés d’accéder sans autorisation aux systèmes vocaux et aux comptes utilisateurs ou administrateurs. Bien qu’aucune exploitation active n’ait été observée, la CISA a précédemment averti que des groupes de ransomware ciblaient les systèmes Mitel. Les organisations concernées sont invitées à mettre à jour immédiatement vers les versions corrigées ou à appliquer des solutions de contournement pour restreindre l’accès au service Provisioning Manager. ...

L’article de BleepingComputer rapporte une intrusion dans le réseau de la National Nuclear Security Administration (NNSA), une agence semi-autonome du gouvernement américain, par des acteurs malveillants exploitant une vulnérabilité zero-day récemment corrigée dans Microsoft SharePoint. La NNSA, qui fait partie du Department of Energy, est responsable de la gestion de l’arsenal nucléaire des États-Unis et de la réponse aux urgences nucléaires et radiologiques. Le porte-parole du Department of Energy a confirmé que des hackers ont accédé aux réseaux de la NNSA la semaine précédente. ...

L’article de Reuters rapporte une faille critique dans le logiciel SharePoint de Microsoft, identifiée lors d’une compétition de hacking en mai. Cette vulnérabilité a été partiellement corrigée par Microsoft, mais la première solution n’a pas suffi à empêcher une campagne mondiale de cyberespionnage. Au cours du week-end, environ 100 organisations ont été compromises, et l’attaque pourrait s’étendre à mesure que d’autres hackers s’y intéressent. Microsoft a publié de nouvelles mises à jour pour résoudre le problème. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...