Alerte sécurité – Deux failles zero-day activement exploitées sur Microsoft SharePoint Server

Deux vulnérabilités critiques, CVE-2025-53770 & CVE-2025-53771, sont activement exploitées depuis le 18 juillet 2025. Elles touchent uniquement les serveurs SharePoint On-Premise, et non SharePoint Online via Microsoft 365. Déjà 85 serveurs ont été piratés dans le monde.

Comment ça fonctionne ?

La vulnérabilité CVE-2025-53770 affecte les serveurs SharePoint On-Premise en exploitant une faille dans la gestion des requêtes ASP.NET.

• Un attaquant non authentifié envoie une requête malveillante.
• Cette requête exploite un défaut de désérialisation, permettant une exécution de code à distance (RCE) sans identifiants.
• Le code malveillant vole les clés MachineKey, qui sécurisent sessions et authentification.
• Avec ces clés, l’attaquant installe un web shell furtif donnant un accès persistant, même après redémarrage ou patch. 
• Résultat : compromission silencieuse, persistante, et difficile à détecter.

Microsoft a publié des correctifs partiels

Correctifs disponibles :

• KB5002768 – SharePoint SE
• KB5002754 – SharePoint 2019
• KB5002760 – Sharepoint 2016

Que faire maintenant ?

• Appliquer les patchs disponibles
• Activer AMSI + Antivirus sur tous les serveurs
• Si AMSI n’est pas activable → déconnecter les serveurs d’Internet
• Déployer Defender for Endpoint
• Changer les clés MachineKey ASP.NET via PowerShell (Update-SPMachineKey) ou via Central Admin

Microsoft et la CISA confirment que ces attaques sont réelles, en cours et massives.
Le risque est majeur pour toute organisation avec des serveurs SharePoint On-Premise.

Partager :

• Partager cette page sur Linkedin
• Imprimer