Vulnérabilité zero-day CVE-2025-53770
Une grave faille de sécurité dans Microsoft SharePoint Server est devenue la cible d'une cyberattaque de grande ampleur. Identifiée sous le numéro CVE-2025-53770 avec un score CVSS de 9,8, cette vulnérabilité est classée « zero-day » et est étroitement liée à CVE-2025-49704 (CVSS 8.8), un bug d'injection de code et d'exécution de code à distance corrigé lors des mises à jour du Patch Tuesday de juillet 2025 de Microsoft. Cette faille provient de la désérialisation de données non fiables, ce qui permet aux attaquants d'exécuter du code malveillant à distance et sans autorisation.
Table des matières
Attaques actives et systèmes impactés
Des chercheurs ont confirmé que les cybercriminels exploitent activement cette vulnérabilité contre les instances SharePoint Server sur site. Il est important de noter que SharePoint Online dans Microsoft 365 reste intact. Les attaquants exploitent la manière dont SharePoint traite les objets non fiables lors de la désérialisation, leur permettant d'exécuter des commandes avant l'authentification des utilisateurs. Une fois à l'intérieur du système, les attaquants peuvent générer de fausses charges utiles à l'aide de clés machine volées, permettant ainsi des déplacements latéraux et un accès persistant. Cela complique la détection et la prévention, car leur activité peut imiter le trafic SharePoint légitime.
Chaînes d’exploitation complexes
Des éléments suggèrent que la faille CVE-2025-53770 est utilisée conjointement avec d'autres failles, notamment CVE-2025-49706 (un bug d'usurpation d'identité avec un score CVSS de 6,3) et CVE-2025-49704, pour former une chaîne d'exploitation avancée appelée ToolShell. Les attaquants exploitent la faille CVE-2025-49706 pour déployer des charges utiles d'exécution de code à distance exploitant la faille CVE-2025-49704. L'ajout de « _layouts/SignOut.aspx » comme référent HTTP transformerait la faille CVE-2025-49706 en faille CVE-2025-53770, permettant ainsi un processus d'exploitation plus simple.
Les attaques impliquent généralement des charges utiles ASPX délivrées via PowerShell, dans le but de voler la configuration MachineKey du serveur (ValidationKey et DecryptionKey). Ces clés sont essentielles, car elles permettent aux attaquants de créer des charges utiles __VIEWSTATE malveillantes que SharePoint acceptera comme valides, transformant ainsi toute requête authentifiée en opportunité d'exécution de code à distance.
Échelle du compromis
À ce jour, plus de 85 serveurs SharePoint dans le monde ont été compromis, affectant au moins 29 organisations, dont des multinationales et des agences gouvernementales. Une fois les clés cryptographiques en main, la correction devient beaucoup plus complexe. Même après l'application d'un correctif de sécurité, les clés volées peuvent encore permettre aux attaquants de conserver l'accès, à moins qu'elles ne soient renouvelées ou reconfigurées manuellement.
Mesures d’atténuation
En attendant la disponibilité d'un correctif officiel, Microsoft conseillait aux entreprises d'activer l'intégration de l'interface d'analyse antimalware (AMSI) dans SharePoint. Pour les clients ne pouvant pas activer l'AMSI, il était fortement recommandé de déconnecter d'Internet les serveurs SharePoint vulnérables.
Suite à des rapports d'exploitation en cours, Microsoft a publié des correctifs pour CVE-2025-53770 et une faille récemment découverte, CVE-2025-53771, pour protéger les systèmes vulnérables.
Avertissement de la CISA
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte confirmant l'exploitation active de la vulnérabilité CVE-2025-53770. Cette vulnérabilité permet aux attaquants d'exécuter du code à distance sans authentification sur le réseau, ce qui représente une menace sérieuse pour tout environnement SharePoint non corrigé.
