Une cyberattaque sophistiquée a exploité une vulnérabilité de type “zero-day” dans les serveurs Microsoft SharePoint, touchant plus de 400 organisations à travers le monde, avec un impact notable dans des pays africains tels que l’Afrique du Sud et l’île Maurice. L’attaque cible les installations de SharePoint sur site, utilisant des failles de sécurité jusqu’alors inconnues pour infiltrer des systèmes critiques dans les secteurs gouvernemental, éducatif et privé.
La brèche a été identifiée pour la première fois la semaine dernière par Eye Security, une entreprise néerlandaise spécialisée en cybersécurité. Contrairement aux vulnérabilités typiques qui affectent les services SharePoint hébergés dans le cloud, ce “zero-day” compromet spécifiquement les serveurs gérés sur site, que de nombreuses institutions utilisent pour un meilleur contrôle et une sécurité accrue.
L’attaque utilise une exécution de code non autorisée au sein des fonctionnalités de collaboration de documents de SharePoint, permettant un accès réseau persistant. Les analystes de Business Insider Africa ont observé le comportement avancé du malware, notant sa capacité à opérer sans être détecté tout en extrayant des données sensibles.
En Afrique du Sud, les secteurs touchés incluent un grand constructeur automobile, plusieurs universités, des organismes gouvernementaux locaux et le Trésor national, où le malware a été découvert sur le site du modèle de rapport d’infrastructure.
Le “zero-day” exploite une faille d’exécution de code à distance dans le processus d’authentification du serveur, contournant les mesures de sécurité standard. Le malware utilise un système de livraison de charge utile en plusieurs étapes, débutant par des scans de reconnaissance sur les versions vulnérables de SharePoint, suivis de l’exploitation du contournement de l’authentification pour déployer des web shells malveillants.
Microsoft a confirmé que la vulnérabilité n’affecte que les installations sur site, les services SharePoint Online hébergés dans le cloud restant protégés par l’infrastructure de sécurité de Microsoft.
