Des pirates informatiques exploitent les failles de Microsoft SharePoint lors de violations mondiales
De nouvelles informations ont émergé concernant des cyberattaques en cours contre les serveurs SharePoint locaux de Microsoft, révélant un impact plus large que prévu initialement. Hier, Hackread.com a fait état des avertissements urgents et des nouvelles mises à jour de sécurité de Microsoft concernant des vulnérabilités critiques ( CVE-2025-53770 et CVE-2025-53771 ) qui permettent aux attaquants d'exécuter du code malveillant.
Les chercheurs en cybersécurité confirment aujourd'hui une escalade significative : près de 100 organisations dans le monde ont été victimes d'une intrusion à ce jour. Cette exploitation généralisée a eu des répercussions sur les gouvernements, les entreprises et d'autres entités à l'échelle mondiale.
Les victimes comprennent les gouvernements nationaux d'Europe et du Moyen-Orient, ainsi que les systèmes gouvernementaux américains tels que le ministère de l'Éducation, le ministère du Revenu de Floride et l'Assemblée générale de Rhode Island.
Un prestataire de soins de santé basé aux États-Unis et une université publique d’Asie du Sud-Est ont également été ciblés, des tentatives de violation ayant été observées dans des pays comme le Brésil, le Canada, l’Indonésie, l’Espagne, l’Afrique du Sud, la Suisse et le Royaume-Uni.
Les attaquants exploiteraient des failles zero-day, auparavant inconnues, permettant ainsi aux espions d'accéder en profondeur à leurs systèmes et d'installer potentiellement des portes dérobées persistantes. Des entreprises de cybersécurité comme CrowdStrike, Mandiant Consulting , Shadowserver Foundation et Eye Security traquent plusieurs groupes de pirates informatiques impliqués dans ces attaques.
L'entreprise néerlandaise Eye Security a été la première à identifier une exploitation active vendredi, soulignant que même après les premiers correctifs de Microsoft début juillet, les pirates ont trouvé des moyens de contourner les correctifs pour poursuivre leurs intrusions. CrowdStrike a également observé une exploitation active à partir du 18 juillet 2025, bloquant des centaines de tentatives dans plus de 160 environnements clients.
Un signe courant d'infection est la présence d'un fichier suspect nommé « spinstall0.aspx », que les attaquants utilisent pour voler les clés de machine IIS après avoir été écrites via des commandes PowerShell, a découvert CrowdStrike.
Les informations volées sont extrêmement sensibles, notamment les identifiants de connexion tels que les noms d'utilisateur, les mots de passe et les codes de hachage. L'intégration étroite de SharePoint avec d'autres services Microsoft comme Office, Teams, OneDrive et Outlook empêche toute compromission et « ouvre la porte à l'ensemble du réseau », selon Michael Sikorski de Palo Alto Networks .
Bien que Microsoft ait publié des correctifs ce week-end pour SharePoint 2019 et l'édition d'abonnement, les mises à jour pour SharePoint 2016 sont toujours en cours de développement. Il est fortement recommandé aux entreprises d'appliquer les correctifs disponibles, mais aussi de procéder à la rotation des clés de leurs machines et de redémarrer leurs services IIS afin de limiter pleinement la menace.
Outre ces étapes cruciales, la CISA (Cybersecurity and Infrastructure Security Agency) a publié ses propres directives le 20 juillet 2025. Elle recommande de configurer l'interface d'analyse anti-programme malveillant (AMSI) dans SharePoint, de déployer Microsoft Defender AV sur tous les serveurs SharePoint et, si l'AMSI ne peut être activée, de déconnecter les produits publics concernés jusqu'à la mise en œuvre complète des mesures d'atténuation officielles.
Le nombre important de serveurs SharePoint potentiellement vulnérables, estimé à plus de 8 000 dans le monde par des moteurs de recherche comme Shodan, souligne l'urgence de mettre en place des mesures de sécurité complètes. Ces failles ont également suscité un regain d'attention sur les pratiques de cybersécurité de Microsoft, un rapport du gouvernement américain de 2024 recommandant des réformes urgentes de sa culture de sécurité.
« Le vol d'actifs cryptographiques est le nouveau « phishing », dans la mesure où les acteurs malveillants ont appris que, comme le vol de mots de passe, obtenir un actif cryptographique important comme des clés API ou une identité de machine, est beaucoup plus facile que les méthodes de force brute » , a déclaré Robert Hann , vice-président mondial des solutions techniques chez Entrust.
« Pour protéger les données sensibles grâce au chiffrement et aux HSM, il est essentiel de comprendre d'abord quels actifs cryptographiques, comme les clés privées, les certificats numériques et les algorithmes de chiffrement, sécurisent quels systèmes et informations. L'utilisation d'un HSM est particulièrement importante pour les données sensibles ou soumises à des exigences de conformité », a conseillé Robert.
« Outre la protection HSM, il est crucial pour les entreprises de mettre en œuvre d'autres bonnes pratiques de sécurité pour SharePoint, telles que la mise à jour du logiciel avec les derniers correctifs et mises à jour de sécurité, l'utilisation de mots de passe forts, le renouvellement régulier des clés et le respect des directives de configuration sécurisée », a-t-il souligné.
Selon Andrew Obadiaru , RSSI chez Cobalt, entreprise de sécurité offensive, « Les vulnérabilités zero-day sur des plateformes largement déployées comme SharePoint sont une mine d'or pour les attaquants, car elles offrent un accès immédiat et évolutif à des environnements à forte valeur ajoutée. Le défi ne réside pas seulement dans l'application des correctifs ; les attaquants implantent généralement des mécanismes de persistance en quelques heures, garantissant ainsi une présence durable. »
« Les stratégies de défense doivent anticiper les failles et valider les contrôles par des tests proactifs, notamment par le red teaming et les tests d'intrusion continus, afin de déceler les faiblesses avant les adversaires. Dans le contexte actuel des menaces, la sécurité réactive seule est vouée à l'échec », a conseillé Andrew.
HackRead
