Les organisations utilisant SharePoint sur site sont activement ciblées par des attaquants qui exploitent une nouvelle vulnérabilité zero-day pour compromettre les serveurs.
Microsoft SharePoint est vulnérable à une faille zero day. Celle-ci est référencée sous le nom CVE-2025-53770, avec un score CVSS de 9,8 sur 10. Les hackers exploitent actuellement cette faille à l’échelle mondiale. SharePoint est utilisé par des organisations du monde entier pour partager des informations et des fichiers via un intranet. Les hackers peuvent non seulement accéder à ces informations, mais aussi voler des clés permettant un accès plus étendu au réseau.
La vulnérabilité permet initialement aux attaquants non authentifiés d’accéder aux serveurs SharePoint sur site connectés à Internet. Les hackers peuvent ensuite accéder à toutes les données sur SharePoint, y compris les éventuels jetons d’accès qui ouvrent la porte à d’autres systèmes du réseau. Les utilisateurs de SharePoint sur site doivent actuellement partir du principe qu’une intrusion a eu lieu.
Correction et rotation
Les chercheurs en sécurité ont remarqué que quelque chose n’allait pas dès vendredi. Microsoft a confirmé les attaques samedi. Entre-temps, Microsoft a également publié un correctif pour combler la faille. Les mises à jour pour Microsoft SharePoint Server Subscription Edition, 2019 et 2019 sont disponibles sur cette page récapitulative de Microsoft.
Microsoft recommande en outre de déployer Defender for Endpoint ou une solution équivalente sur les serveurs SharePoint et d’activer et configurer l’interface Antimalware Scan (AMSI). Redmond insiste également pour que les serveurs SharePoint soient déconnectés d’Internet jusqu’à l’installation du correctif.
Il est ensuite crucial de faire pivoter les clés ASP.NET de SharePoint Server et de redémarrer IIS sur tous les serveurs. Cette étape fait suite au correctif et est nécessaire pour empêcher tout accès malveillant lors de futures attaques. L’installation du correctif seul ne suffit pas à bloquer les hackers si les clés ont déjà été compromises.
Eye Security a tiré la sonnette d’alarme. Dans un article de blog détaillé de l’entreprise de sécurité, vous trouverez les indicateurs de compromission techniques qui montrent si vous avez été victime d’une attaque.
Les utilisateurs de SharePoint dans le cadre de Microsoft 365 au sein du cloud Microsoft n’ont pas à s’inquiéter. Ces versions de SharePoint ne sont pas affectées.
Sur site et rappel d’Exchange
La saga zero day suit ainsi le même schéma que les précédentes failles critiques dans Microsoft Exchange. À l’époque aussi, les bugs n’affectaient que les installations sur site. En 2021, une telle faille avait provoqué une onde de choc mondiale, après qu’un groupe de hackers lié à la Chine ait attaqué des centaines d’entreprises et que des centaines de milliers d’organisations dans le monde se soient révélées vulnérables.
lire aussi
Des hackers attaquent Microsoft SharePoint dans le monde entier via une faille zero day : appliquez le correctif maintenant
Le fait que la faille SharePoint affecte à nouveau les installations sur site aggrave le problème. Il appartient maintenant aux administrateurs d’agir rapidement et correctement. L’histoire nous apprend que la disponibilité d’un correctif ne suffit pas toujours à garantir son déploiement rapide.