Le scénario cauchemardesque que personne ne voulait voir se réaliser est en train de se produire :
Microsoft SharePoint, la célèbre plateforme de collaboration utilisée par des milliers d’entreprises dans le monde, fait l’objet d’une attaque massive exploitant des failles zero-day
En termes simples : des vulnérabilités inconnues jusqu’à récemment, pour lesquelles aucun correctif n’était disponible.
La situation est critique, et le temps presse pour de nombreuses organisations.
Talon d’Achille exposé :
CVE-2025-53770
et ses sinistres consœurs
Imaginez que vos bureaux soient une forteresse — mais qu’un attaquant découvre une porte secrète inconnue même de vos architectes.
C’est exactement ce qui se passe avec les vulnérabilités zero-day comme CVE-2025-53770, récemment mise en lumière.
Cette faille — ainsi que CVE-2025-49706 et CVE-2025-49704 — exploite la manière dont SharePoint traite des données non fiables.
L’attaque expliquée : comment exploite-t-on cette faille ?
Le cœur du problème : la désérialisation de données non fiables et la manipulation des MachineKeys de SharePoint.
En clair : SharePoint reçoit certaines instructions sous forme sérialisée — des données structurées censées être converties en commandes exécutables.
Mais si un attaquant parvient à modifier ces données avant la désérialisation, il peut tromper SharePoint.
C’est comme si vous donniez à un robot un faux ordre lui disant de voler vos clés.
Dans le cas de SharePoint, cela permet :
-
Exécution de code à distance (RCE) – le Graal du cybercriminel.
L’attaquant peut envoyer des commandes personnalisées que SharePoint exécutera comme si elles étaient légitimes.
C’est comme prendre le contrôle du cerveau de votre système.
-
Vol des clés cryptographiques (MachineKeys) – ces clés sont les clés maîtresses de votre royaume numérique.
Elles servent à chiffrer les données sensibles et à authentifier les utilisateurs.
Une fois volées, les attaquants peuvent se faire passer pour n’importe qui — même après application des correctifs.
-
Déploiement de web shells – de petits fichiers malveillants installés sur le serveur, agissant comme des portes dérobées.
Même après correction de la faille, l’attaquant peut revenir à tout moment.
C’est comme un tunnel secret dans vos murs.
Ces attaques, souvent désignées sous le nom ToolShell, ont déjà touché des dizaines d’organisations, y compris des entités gouvernementales et de grandes entreprises.
Elles concernent principalement les serveurs SharePoint “on-premise”, pas SharePoint Online (version cloud de Microsoft 365).
Se défendre : les mesures essentielles à prendre
immédiatement
Face à cette menace, l’inaction n’est pas une option.
Microsoft publie activement des correctifs (certains sont déjà disponibles), mais la vigilance et la proactivité restent vos meilleurs remparts.
1. Appliquez les mises à jour sans attendre (et plus encore)
C’est la base en cybersécurité : installez les correctifs dès leur disponibilité.
Des patchs existent déjà pour SharePoint 2019 et Subscription Edition.
Pour SharePoint 2016, Microsoft y travaille encore.
⚠️ Mais attention : appliquer un correctif ne suffit pas !
Après la mise à jour, vous devez impérativement :
-
Changer les MachineKeys
-
Redémarrer IIS
Si vos clés ont déjà été volées avant le patch, l’attaquant peut encore les utiliser pour revenir discrètement.
C’est comme changer la serrure et les clés, surtout si une copie a été faite.
Microsoft a publié un guide précis pour faire pivoter ces clés.
2. Renforcez la détection avec AMSI et un antivirus/EDR
Activez AMSI (Antimalware Scan Interface) dans SharePoint.
Déployez un antivirus performant (comme Windows Defender) ou une solution EDR (Endpoint Detection and Response) sur vos serveurs.
AMSI agit comme un vigile numérique avancé, permettant aux applications de collaborer avec l’antivirus pour scanner les scripts et contenus en mémoire — y compris les web shells.
⚠️ Si AMSI n’est pas activable : déconnectez temporairement vos serveurs SharePoint d’internet jusqu’à ce que les patchs soient en place.
3. Surveillez activement toute activité suspecte et les web shells
La détection précoce est essentielle.
-
🔍 Surveillez vos serveurs SharePoint pour détecter tout comportement anormal.
-
🔍 Recherchez des fichiers ASPX suspects (ex. : spinstall0.aspx) dans les répertoires SharePoint — souvent utilisés comme web shells.
-
🔍 Observez les processus IIS de SharePoint : tentatives d’exécution de commandes anormales, connexions sortantes vers des IP inconnues, etc.
Si vous disposez d’un SIEM (Security Information and Event Management), configurez des alertes sur ces indicateurs de compromission.
En cas de détection, isolez les serveurs concernés et déclenchez une réponse à incident complète.
4. Appliquez le principe du moindre privilège et segmentez votre réseau
-
Les comptes de service et utilisateurs SharePoint ne doivent disposer que des droits strictement nécessaires.
-
N’accordez jamais plus d’accès que nécessaire.
-
Isolez les serveurs SharePoint des systèmes critiques via une segmentation réseau.
Cela limite la propagation latérale en cas de compromission.
Conclusion : la vigilance constante est votre meilleur bouclier
Ces vulnérabilités SharePoint nous rappellent brutalement que la cybersécurité est un combat permanent.
Les attaquants ne dorment jamais. Leurs méthodes évoluent constamment.
Et les plateformes collaboratives — cœur de l’échange d’informations sensibles — sont des cibles de choix.
Ne paniquez pas — mais agissez vite.
En combinant :
-
l’application rapide des correctifs
-
la surveillance active
-
la sécurisation des clés
-
et une défense en profondeur
… vous pouvez transformer votre château numérique en véritable forteresse.
La collaboration est essentielle pour votre entreprise — mais pas avec des cybercriminels.
Restez vigilant. Restez protégé.