Des acteurs malveillants ont exploité mi-juillet 2025 des failles de sécurité critiques sur Microsoft SharePoint. Des attaques ciblées, qui concernent les versions dites « on-premise », installées localement chez le client, permettent à un attaquant d’exécuter à distance du code. Microsoft a déjà identifié au moins 85 serveurs compromis et 54 organisations victimes.
Dans le monde de la cybersécurité, on parle d’une attaque « zero-day», lorsqu’elle se produit avant que la victime ne soit consciente de la vulnérabilité et qu’un correctif ne soit disponible.
Alors lorsque la victime s’appelle Microsoft SharePoint, un outil utilisé par plus de 50 000 entreprises dans plus de 124 pays, ça crée quelques remous.
Alertées dès le 18 juillet grâce à un signalement du cabinet de cybersécurité néerlandais Eye Security, les équipes de Microsoft ont d’ores et déjà délivré des correctifs d’urgence partiels.
Portant le doux nom de CVE-2025-53770 et CVE-2025-53771, ces failles auraient permis à des cybercriminels de compromettre de nombreux réseaux stratégiques. Parmi les cibles découvertes : des universités américaines, des opérateurs énergétiques, des institutions de santé fédérales, des sociétés d’IA et de fintech, ainsi que des entités gouvernementales majeures en Amérique du Nord et en Europe.
Charles Carmakal, CTO du géant de la cybersécurité Mandiant Consulting, juge le rapport de Microsoft « urgent et radical« .
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
⚠️ Alerte CERT-FR ⚠️
Une vulnérabilité de type jour-zéro affecte Microsoft Sharepoint. Elle est activement exploitée. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.https://t.co/K5LpDKKEj8— CERT-FR (@CERT_FR) July 21, 2025
Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
J’accepte tout
CVE-2025-53770, CVE-2025-53771, c’est quoi concrètement ?
Les deux vulnérabilités au cœur de cette affaire affectent plusieurs versions de SharePoint Server (2016, 2019 et Subscription Edition) lorsqu’elles sont installées sur site.
Contrairement à SharePoint Online, intégré à Microsoft 365 et hébergé dans le cloud, ces serveurs dépendent de la gestion locale des mises à jour par les administrateurs et sont donc exposés à des risques supplémentaires.
La première faille, permet à l’attaquant de tromper le serveur pour contourner ses protections et en prendre le contrôle total à distance, sans avoir besoin de mot de passe. Grâce à cette vulnérabilité, l’attaquant peut, via Internet, envoyer des données piégées qui le laissent exécuter toutes sortes de commandes malveillantes.
La seconde faille, elle, touche la gestion des accès aux fichiers et peut permettre au pirate de déposer des fichiers dangereux ou de pénétrer dans des zones normalement interdites du serveur.
Concrètement, comment ça se passe ? Eh bien, l’attaque démarre généralement par l’envoi au serveur d’un fichier piégé, appelé « spinstall0.aspx », sans lever les contrôles de sécurité habituels. L’objectif du fichier : voler les clés cryptographiques du serveur (comme la ValidationKey et la DecryptionKey), qui servent à sécuriser tous les échanges et l’accès aux données.
Une fois en possession de ces clés, le pirate peut fabriquer de faux accès légitimes : il se fait passer pour un utilisateur autorisé et a le champ libre pour espionner, voler, modifier des documents ou saboter le fonctionnement du serveur, souvent sans être détecté.
Comment se protéger si vous pensez être concernés ?
Face à la propagation rapide des attaques, Microsoft a diffusé des consignes à prendre en urgence : activation obligatoire de la protection Antimalware Scan Interface (AMSI) sur les serveurs SharePoint, recommandations de changement des clés cryptographiques serveur après installation des mises à jour.
Deux patchs de sécurité sont déjà disponibles :
Aux États-Unis, la CISA, agence américaine de cybersécurité, a inscrit CVE-2025-53770 et CVE-2025-53771 à son catalogue officiel des vulnérabilités exploitées et a imposé une fenêtre de correction maximale de 24 heures pour toutes les administrations fédérales concernées.
En France, La CERT-FR sous contrôle de l’ANSSI appelle à suivre attentivement les consignes de Microsoft et demande à isoler immédiatement tout serveur exposé à Internet et n’ayant pas subi de correctif.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
Installer Numerama