Mandiant de Google a lié un groupe de piratage China-Nexus à la vague initiale d’attaques mondiales exploitant une vulnérabilité critique Microsoft SharePoint. La chaîne d’exploit, baptisé «Volet à outils» (CVE-2025-53770), permet aux attaquants de contourner l’authentification et d’exécuter du code sur des serveurs sur site vulnérables.
L’attribution le 22 juillet suit une période turbulente pour les administrateurs informatiques. Microsoft a publié des correctifs de sécurité d’urgence un jour auparavant, en se bousculant pour contenir les retombées. Avec un exploit de preuve de concept désormais public, le risque d’organisations non corrigées a considérablement augmenté.
L’acteur de Chine-Nexus lié aux premières attaques «de lallaire»
Les attaques, qui ont compromis des dizaines d’organisations dans le monde, sont maintenant censées avoir des origines étatiques. Dans un communiqué, Charles Carmakal, CTO de Google Cloud’s Mandiant Consulting, CVE-2025-49706 ) Démontre à PWN2OWN et MALLEMENT COMMENT COMMENCÉ PAR Micosoft dans son juillet.
Les attaquants ont probablement effectué des «difficultés de patch» pour concevoir le nouvel exploit. Cette technique implique la comparaison médico-légale avant le code et le code post-patch pour identifier la modification exacte apportée par les développeurs. En comprenant le correctif, ils peuvent rechercher des chemins de code alternatifs qui obtiennent le même résultat.
tandis que Rapports initiaux suggérés href=”https://thehackernews.com/2025/07/hackers-exploit-sharepoint-zero-ay.html”Target=”_ Blank”> L’exploitation a peut-être commencé dès le 7 juillet . Ce calendrier antérieur suggère que les attaquants avaient une connaissance avancée des détails de la vulnérabilité, peut-être avant que le défaut d’origine ne soit corrigé.
L’attaque elle-même est furtive et très efficace. Selon des recherches de la sécurité oculaire, qui a d’abord détecté la campagne , les attaquants plantent un fichier nommé spinstall0.aspx sur des serveurs compromis. Ce n’est pas une porte dérobée typique conçue pour un large contrôle.
Comme l’équipe de recherche de la sécurité oculaire l’a noté:”Ce n’était pas votre coque en ligne typique. Il n’y avait pas de commandes interactives, de shells inversés ou de logique de commandement et de contrôle.”Son objectif unique et ciblé est d’exfiltrer les clés de la machine cryptographique du serveur. Ces clés sont les références maîtres pour la gestion de l’État de la ferme SharePoint, utilisée pour valider et décrypter les données de session.
Le vol de ces clés offre une forme d’accès beaucoup plus persistante et dangereuse qu’une simple coque Web. Comme la sécurité oculaire prévient, «ces clés permettent aux attaquants d’identifier les utilisateurs ou les services, même après le correctif du serveur. Le correctif seul ne résout donc pas le problème.» Cela rend la correction beaucoup plus complexe que la simple suppression d’un fichier malveillant; Il nécessite une rotation et un correctif de clés complet.
Microsoft Rushes Patches comme CISA Issues Directive
Microsoft a initialement répondu le 20 juillet avec des conseils d’atténuation, car un correctif n’était pas encore disponible. La société a conseillé aux administrateurs d’activer l’interface de numérisation anti-logiciels (AMSI) et Rotate Keyys pour invalider n’importe qui Stolen”Création d’identification .
Ce conseil a été remplacé 24 heures plus tard. Le 21 juillet, Microsoft a publié des mises à jour d’urgence et de sécurité hors bande pour SharePoint Abonnement Edition, SharePoint 2019 et SharePoint 2016. La société a souligné que les clients en ligne de SharePoint ne sont pas affectés.
La gravité de la menace avait provoqué une réponse gouvernementale rapide. L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a ajouté le CVE-2025-53770 Target=”_ Blank”> Catalogue connu des vulnérabilités exploitées (KEV) , une liste de défauts nécessitant une action fédérale immédiate.
CISA a publié une directive ordonnant à toutes les agences civiles fédérales d’appliquer les correctifs de Microsoft. Dans son alerte, l’agence a expliqué le danger: «Cette activité d’exploitation, publiquement signalée comme« troupe d’outils », fournit un accès non authentifié aux systèmes et permet aux acteurs malveillants d’accéder pleinement au contenu SharePoint… et d’exécuter du code sur le réseau.» Cela met en évidence le potentiel de compromis système complet et d’exfiltration des données.
La version d’exploitation publique dégénère la menace des serveurs non corrigés
Le paysage de la menace a considérablement aggravé avec la publication d’un Proof-of-Concept (POC) Exploiter sur GitHub Le 21 juillet. Ce code rend l’attaque sophistiquée de la”Volet”accessible à un éventail beaucoup plus large d’acteurs malveillants, de Script Kiddies à Ransomware Gangs.
La disponibilité d’un POC précède souvent une vague massive. Des entreprises de sécurité comme Rapid7 et BitDefender ont émis leurs propres avis techniques, exhortant les clients à corriger immédiatement.
Cet incident est un rappel des menaces persistantes auxquelles sont confrontés l’infrastructure sur site, qui est souvent à la traîne des services cloud dans la posture de sécurité. Il fait écho à des crises de sécurité SharePoint précédentes, y compris d’autres exploits critiques à la fin de 2024.
Il rappelle également d’autres problèmes d’intégrité de la plate-forme, tels que le détournement d’un domaine de flux Microsoft hérité plus tôt en 2025 qui a injecté le spam dans les sites SharePoint. Pour les organisations gérant leurs propres serveurs, la vigilance constante et les correctifs rapides restent des défenses critiques.