Alerte Cybersécurité : Zero-Day sur SharePoint – CVE-2025-53770

Depuis le 18 juillet 2025, la société Eye Security a observé une exploitation à grande échelle de la vulnérabilité zero-day CVE-2025-53770, affectant les serveurs on-premise SharePoint. Cette faille permet l'exécution de code à distance (RCE) non authentifié via une chaîne d'exploitation sophistiquée, surnommée ToolShell.

⚠️ Ces vulnérabilités s’appliquent uniquement aux serveurs SharePoint on premise. SharePoint Online dans Microsoft 365 n’est pas impacté. ⚠️

Microsoft a confirmé l'exploitation active de cette vulnérabilité qui permet à un acteur de la menace de prendre le contrôle de serveurs sans authentification. Eye Security rapporte qu'environ 100 organisations ont déjà été compromises à l'échelle mondiale suite à l'exploitation de cette vulnérabilité.

Nos recommandations

• Application des correctifs : Microsoft a publié des mises à jour de sécurité pour SharePoint Server 2016, 2019 et Subscription Edition. 
• Rotation des clés ASP.NET : Après l'application des correctifs, il est fortement recommandé de procéder à la rotation des clés machineKey pour prévenir toute exploitation future. Microsoft partage les commandes PowerShell suivantes 

1. Générer la clé machine dans PowerShell Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
2. Déployer la clé machine à la ferme dans PowerShell Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
   1. Redémarrer IIS sur tous les serveurs SharePoint avec iisreset.exe

• Activation de l'AMSI : Vérifier que l’interface de scan antimalware (AMSI) est activée et configurée correctement. Si l’analyse des "HTTP Request Body" est disponible, activez "Full Mode" qui offre la protection la plus complète et déployez Microsoft Defender Antivirus sur tous les serveurs SharePoint ce qui mitigera l'exploitation de la vulnérabilité.
• Surveillance accrue : Mettre en place une surveillance renforcée des serveurs SharePoint pour détecter toute activité suspecte ou non autorisée.
• Isolation des serveurs compromis : Si un serveur est suspecté d'être compromis, il doit être immédiatement isolé du réseau pour limiter la propagation de l'attaque.

Pour plus d'informations : 

• Eye Security : https://research.eye.security/sharepoint-under-siege/
• Crowdstrike : https://www.crowdstrike.com/en-us/blog/crowdstrike-detects-blocks-sharepoint-zero-day-exploitation/
• SentinelOne : https://www.sentinelone.com/blog/sharepoint-toolshell-zero-day-exploited-in-the-wild-targets-enterprise-servers/
• Microsoft : https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
• ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-010/

Écrit par ELF