Prendre contact avec un expert

Alerte Cybersécurité : Zero-Day sur SharePoint – CVE-2025-53770

23 juillet 2025
2 min de lecture
Partagez l'article

Depuis le 18 juillet 2025, la société Eye Security a observé une exploitation à grande échelle de la vulnérabilité zero-day CVE-2025-53770, affectant les serveurs on-premise SharePoint. Cette faille permet l'exécution de code à distance (RCE) non authentifié via une chaîne d'exploitation sophistiquée, surnommée ToolShell.

⚠️ Ces vulnérabilités s’appliquent uniquement aux serveurs SharePoint on premise. SharePoint Online dans Microsoft 365 n’est pas impacté. ⚠️

Microsoft a confirmé l'exploitation active de cette vulnérabilité qui permet à un acteur de la menace de prendre le contrôle de serveurs sans authentification. Eye Security rapporte qu'environ 100 organisations ont déjà été compromises à l'échelle mondiale suite à l'exploitation de cette vulnérabilité.

Nos recommandations

  • Application des correctifs : Microsoft a publié des mises à jour de sécurité pour SharePoint Server 2016, 2019 et Subscription Edition. 
  • Rotation des clés ASP.NET : Après l'application des correctifs, il est fortement recommandé de procéder à la rotation des clés machineKey pour prévenir toute exploitation future. Microsoft partage les commandes PowerShell suivantes 
  1. Générer la clé machine dans PowerShell Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
  2. Déployer la clé machine à la ferme dans PowerShell Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>
    1. Redémarrer IIS sur tous les serveurs SharePoint avec iisreset.exe
  • Activation de l'AMSI : Vérifier que l’interface de scan antimalware (AMSI) est activée et configurée correctement. Si l’analyse des "HTTP Request Body" est disponible, activez "Full Mode" qui offre la protection la plus complète et déployez Microsoft Defender Antivirus sur tous les serveurs SharePoint ce qui mitigera l'exploitation de la vulnérabilité.
  • Surveillance accrue : Mettre en place une surveillance renforcée des serveurs SharePoint pour détecter toute activité suspecte ou non autorisée.
  • Isolation des serveurs compromis : Si un serveur est suspecté d'être compromis, il doit être immédiatement isolé du réseau pour limiter la propagation de l'attaque.

Pour plus d'informations

Écrit par ELF

Notre selection pour vous

Panocrim 2026 - Quelles nouvelles menaces cyber en 2026 ?

Panocrim 2026, organisé par le CLUSIF au Campus Cyber de La Défense, a réuni le 15 janvier dernier les experts les plus influents […]
27 janvier 2026
4 minutes de lecture
,

Comment choisir son SOC : les bonnes questions à se poser pour une stratégie cyber efficace  

Le Security Operations Center (SOC) est un maillon essentiel dans la stratégie cyber d’une organisation. Il représente le cœur opérationnel de la détection, de la […]
7 janvier 2026
6 minutes de lecture

Analyse de l'attaque Kerberoasting

Dans les environnements modernes basés sur Active Directory, le protocole Kerberos est un pilier de l'authentification réseau.
24 février 2025
9 minutes de lecture
1 2 3 4

Restez informé de toutes les actus cyber & AISI.

    Menu
    close
    2024 AISI. Tout droit réservé.Mentions légales Politique de confidentialité