Microsoft a émis un avertissement concernant une vulnérabilité critique de type zero-day dans SharePoint, identifiée sous le nom de CVE-2025-53770, qui est actuellement exploitée activement. Cette vulnérabilité, avec un score CVSS de 9,8, implique la désérialisation de données non fiables dans Microsoft SharePoint Server sur site. Elle permet à des attaquants non autorisés d’exécuter du code à distance. Découverte par Viettel Cyber Security, la faille n’est pas encore corrigée, mais Microsoft travaille sur une mise à jour complète. En attendant, il est conseillé aux utilisateurs d’activer l’intégration AMSI et de déployer Microsoft Defender pour protéger leurs environnements SharePoint Server. La vulnérabilité est une variante d’une faille de falsification précédemment traitée, CVE-2025-49706. L’exploitation permet aux attaquants d’exécuter des commandes avant l’authentification et de se déplacer latéralement en utilisant des clés machines volées, ce qui complique la détection. Des chercheurs en sécurité ont observé des attaques exploitant à la fois CVE-2025-49706 et une autre faille, CVE-2025-49704, dans une chaîne baptisée “ToolShell”. Cette chaîne contourne l’authentification et permet l’exécution de code à distance. Eye Security a détecté une exploitation à grande échelle de cette chaîne de vulnérabilités le 18 juillet 2025, affectant de nombreux serveurs SharePoint à travers le monde. Ils recommandent de procéder à des correctifs immédiats et de réaliser des évaluations de compromis pour les systèmes potentiellement affectés.
La vulnérabilité zero-day CVE-2025-53770 de SharePoint est-elle activement exploitée ?
