Mise à jour: 21 juillet 2025, 10:12 CEST -Microsoft a maintenant publié des mises à jour de sécurité pour aborder la vulnérabilité critique de SharePoint CVE-2025-53770. Selon son Guidance mise à jour , les correctifs sont maintenant disponibles pour les deux SharePoint Abcription Edition et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Strong> et Stronge 2019 . Une mise à jour de SharePoint 2016 est toujours en développement. Microsoft exhorte les clients sur les versions prises en charge à appliquer immédiatement les mises à jour pertinentes pour protéger leurs systèmes.
Microsoft a publié des mises à jour de sécurité qui protègent entièrement les clients à l’aide de SharePoint Abonnement Edition et SharePoint 2019 contre les risques posés par CVE-2025-53770, et CVE-2025-53771. Ces vulnérabilités s’appliquent uniquement aux serveurs SharePoint sur site. Les clients doivent postuler…
-Réponse de sécurité (@MSfTSecResponse) juillet 21, 2025 src=”https://winbuzzer.com/wp-content/uploads/2017/03/sharepoint-reuse-microsoft.jpg”>
Une vulnérabilité zero-day non luttée dans l’attaque mondiale de Microsoft. La faille, identifiée comme CVE-2025-53770, a déjà compromis les agences fédérales et étatiques américaines, les universités et les entreprises, Selon les rapports . a commencé vers le 18 juillet, provoquant une réponse urgente des responsables de la cybersécurité. Alors que Microsoft a émis Mitigation Guidance ,, aucun patch de sécurité n’est encore disponible. La vulnérabilité permet une exécution de code distante non authentifiée, laissant des dizaines de milliers de serveurs à risque.
Cela permet aux attaquants d’installer les délais et voler des clés cryptographiques, leur accordant un contrôle total. Le Flaw a un impact sur SharePoint Server 2016, 2019 et l’édition d’abonnement. Microsoft a confirmé que les clients de SharePoint en ligne ne sont pas affectés par cette vulnérabilité.
La campagne mondiale exploite un défaut non corrigé pour voler les clés du serveur
La campagne en cours ne déplace pas les logiciels malveillants typiques. Au lieu de cela, les attaquants utilisent une approche furtive pour obtenir un contrôle persistant. La sécurité de la société de sécurité, qui a détecté d’abord l’exploitation active, a rapporté que les attaquants sont Planter un fichier nommé spinstall0.aspx sur des serveurs compromis Ces clés sont des secrets critiques utilisés par le serveur pour valider et décrypter les données de session. Comme la sécurité oculaire l’a noté: «Ce n’était pas votre volet Web typique. Il n’y avait pas de commandes interactives, de coquilles inversées ou de logique de commandement et de contrôle.»
En volant ces clés, les attaquants possèdent efficacement les références principales pour la gestion de l’État de SharePoint Farm. Cela leur permet de générer des charges utiles «__ViewState» valides, transformant toute demande authentifiée en un vecteur d’exécution de code à distance potentiel, comme détaillé par les chercheurs en sécurité.
Ce niveau d’accès est beaucoup plus persistant qu’une simple washell. La sécurité oculaire prévient: «Ces clés permettent aux attaquants d’identifier les utilisateurs ou les services, même après le correctif du serveur. Donc, le correctif seul ne résout pas le problème…», soulignant la nécessité d’une correction immédiate et approfondie.
Une variante d’une vulnérabilité immédiate et approfondie
Flaw, CVE-2025-49706. Cette vulnérabilité faisait partie d’une chaîne d’attaques appelée «Toolsell», démontrée au concours PWN2OWN en mai 2025 et Par la suite corrigé par Microsoft dans sa mise à jour de sécurité de juillet .
La vitesse à laquelle ce jour zéro est émergé est particulièrement préoccupant. Après que Microsoft a corrigé les défauts initiaux de «volet à outils», les acteurs de la menace ont probablement effectué une analyse «difficulté des patchs». Cette technique commune consiste à comparer le code pré-patch et post-patch pour identifier la modification exacte apportée par les développeurs.
En identifiant le correctif, les attaquants peuvent rechercher des chemins de code alternatifs ou des défauts logiques qui obtiennent le même résultat, en contournant efficacement le patch. Cette armement rapide souligne la nature sophistiquée des groupes ciblant les logiciels d’entreprise.
L’incident sert de rappel frappant les défis de sécurité auxquels sont confrontés les organisations qui gèrent l’infrastructure sur site. Même avec des correctifs réguliers, comme on le voit avec un exploit de SharePoint précédent à la fin de 2024, les attaquants déterminés peuvent trouver et exploiter de nouvelles lacunes dans des systèmes complexes.
Microsoft Problèmes Mitigation Urgent lorsque CISA définit la date limite
En réponse aux attaques actifs, Microsoft a Guidance client urgente publiée . Étant donné qu’un correctif n’est pas encore prêt, la société conseille aux administrateurs de prendre des mesures défensives immédiates. La défense principale consiste à permettre l’interface de numérisation anti-logiciels (AMSI).
Ceci est crucial car il offre une visibilité en temps réel dans l’exécution du script. Une solution antivirus AMSI, comme Microsoft Defender, peut inspecter le contenu des demandes avant d’être traités par SharePoint, bloquant l’exploit. Cependant, cela ne suffit pas pour les systèmes déjà compromis.
Microsoft souligne que la rotation des touches de la machine ASP.NET est une deuxième étape critique. Cette procédure génère de nouvelles clés cryptographiques et invalide les anciennes, verrouillant efficacement les attaquants qui les ont déjà volés. Après la rotation des clés, un redémarrage complet des services IIS est nécessaire pour s’assurer que les nouvelles clés sont chargées.
L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a ajouté CVE-2025-53770 à son Vulnérabilités explorées connues (KEV) catalogue . L’agence a publié une directive obligeant toutes les agences civiles fédérales à appliquer les atténuations de Microsoft d’ici le 21 juillet 2025, signalant la gravité de la menace.
Cet incident fait également penser à d’autres problèmes de sécurité dans le SHAREPOINT ECOSYSTÈME surface.
