Une vulnérabilité critique de type “zero-day”, identifiée sous le code CVE-2025-53770, affecte actuellement Microsoft SharePoint Server et est activement exploitée, constituant une menace de sécurité majeure pour les organisations utilisant des environnements SharePoint sur site. La campagne sophistiquée “ToolShell” permet l’exécution de code à distance, la compromission du système et l’accès persistant par des portes dérobées, contournant même l’authentification multifactorielle.
La gravité de la situation est accentuée par le fait que ces attaques ont commencé avant que des correctifs de sécurité ne soient disponibles. Microsoft a conseillé aux organisations de partir du principe que leurs systèmes pourraient déjà être compromis et de mener des enquêtes approfondies pour garantir leur intégrité. Les installations de SharePoint Server 2016 sont particulièrement vulnérables en raison de l’absence de correctifs techniques, ce qui oblige à se tourner vers des simulations de violation et d’attaque pour évaluer l’exposition.
Plusieurs acteurs malveillants, y compris des groupes liés à la Chine, exploitent cette vulnérabilité, et l’on s’attend à ce que d’autres s’y joignent à mesure que l’information se répand. Les attaquants ont été observés installant des webshells et exfiltrant des données sensibles, ce qui conduit à un accès non authentifié et à long terme aux systèmes ciblés.
Les directives d’urgence de Microsoft indiquent que seules les versions sur site de SharePoint Server sont affectées, tandis que SharePoint Online reste sécurisé. Une action immédiate est recommandée pour ceux utilisant des serveurs sur site exposés à Internet, y compris la mise en œuvre de mesures d’atténuation et la préparation à un correctif d’urgence.
Les organisations sont exhortées à rester vigilantes, à appliquer rapidement les mesures d’atténuation et à mener des enquêtes approfondies pour se défendre contre cette menace croissante. Renforcer la résilience et réviser continuellement les mesures de sécurité sont essentiels alors que de plus en plus d’acteurs exploitent cette vulnérabilité.
