des dizaines de milliers de serveurs sont en danger à cause de 2 failles Microsoft

Deux failles critiques dans Microsoft SharePoint sont actuellement exploitées par des pirates. En se servant des vulnérabilités, les cybercriminels sont parvenus à compromettre de nombreux serveurs dans le monde. En fait, des milliers de serveurs appartenant à des entreprises sont menacés…

Mise à jour 22/07, 19h — Microsoft a identifié trois acteurs malveillants provenant de Chine : Linen Typhoon, Violet Typhoon et Storm-2603 exploitent activement les deux failles SharePoint.

Mise à jour 22/07, 9h30 — La liste des victimes continue de s’allonger. En l’espace de quelques jours, la cyberattaque est parvenue à compromettre 100 organisations, indique Eye Security, une société néerlandaise de cybersécurité. La firme a prévenu toutes les autorités compétentes. Pour la Shadowserver Foundation, la plupart des entreprises victimes se trouvent aux États-Unis et en Allemagne. Parmi les organisations piratées, on trouve une pléthore d’entités liées à des gouvernements. Selon les chercheurs de Mandiant, une partie des attaques peut être attribuée à un « acteur malveillant lié à la Chine ».

« Nous estimons qu’au moins l’un des auteurs responsables de cette exploitation précoce est un acteur malveillant lié à la Chine. Il est essentiel de comprendre que cette vulnérabilité est désormais activement exploitée par plusieurs groupes. Nous nous attendons à ce que cette tendance s’intensifie, car d’autres acteurs aux motivations diverses étant susceptibles de tirer parti de cette faille à leur tour », explique Mandiant à 01net.

Le FBI vient d’annoncer l’ouverture d’une enquête. L’agence fédérale américaine est au courant des attaques en cours et collabore avec des partenaires des secteurs public et privé pour réduire les dégâts. De son côté, Le National Cyber Security Center britannique s’est penché sur la question, mais n’a dénombré qu’une poignée de victimes au Royaume-Uni. De l’avis général, des dizaines de milliers de serveurs sont toujours vulnérables, bien que Microsoft a déployé des correctifs de SharePoint. Il s’agit encore d’une « menace de grande gravité et d’une extrême urgence », estime Unit 42.

« Bien que les environnements cloud ne soient pas affectés, les déploiements SharePoint sur site — en particulier dans les administrations, les établissements scolaires, les organismes de santé (y compris les hôpitaux) et les grandes entreprises — sont exposés à un risque immédiat. […]Une fois à l’intérieur, ils exfiltrent des données sensibles, installent des portes dérobées persistantes et volent des clés cryptographiques. Les attaquants exploitent cette vulnérabilité pour s’introduire dans les systèmes et ont déjà commencé à y établir leur présence », explique Michael Sikorski d’Unit 42.

Article original, 22/07 — En mai, les chercheurs de Viettel Cyber Security ont débusqué deux vulnérabilités dans Microsoft SharePoint, une plateforme principalement utilisée par les entreprises pour le partage de documents, la gestion de contenu et la collaboration en ligne. En exploitant ce duo de failles, les chercheurs en sécurité ont pu mener une attaque impliquant l’exécution de code à distance. 

Alertée par les chercheurs, Microsoft a rapidement corrigé les deux vulnérabilités. L’éditeur a inclus un correctif dans les mises à jour du patch Tuesday du mois de juillet 2025. La mise à jour a par ailleurs permis de colmater plus de 130 failles identifiées dans le code de Windows, dont une brèche zero day.

Quelques semaines plus tard, autour du 18 juillet, les failles ont néanmoins été exploitées dans le cadre d’une vague de cyberattaques. Il s’avère que des cybercriminels ont trouvé le moyen de contourner les correctifs déployés par Microsoft afin de mener l’exploitation à son terme. Pour arriver à leurs fins, les pirates ont déniché deux autres vulnérabilités. Avec celles-ci, il est possible de déployer du code malveillant à distance sans devoir s’authentifier au préalable.

Durant l’offensive, « l’accès à votre serveur ne requiert aucune authentification, ce qui complexifie la détection et la réponse », relate Clément Domingo, chercheur en cybersécurité, sur son compte X. L’attaque aboutit souvent à

🚨🌍 CYBERALERT MONDIALE 🔴 | ⚡Tempête critique sur Microsoft SharePoint – +8000 organisations menacées !

Depuis ce week-end, une vague d’attaques -tjrs en cours et massive- cible les serveurs SharePoint On-Premise dans le monde entier.
Voici quoi retenir en 7 points :

1️⃣… pic.twitter.com/dm5ncTM1qh

— SaxX ¯\_(ツ)_/¯ (@_SaxX_) July 21, 2025

À lire aussi : Craignant un nouveau « Crowdstrike », Microsoft revoit la sécurité de Windows

85 serveurs et 54 organisations piratées

Dans l’urgence, Microsoft a indiqué dans un billet de blog être « conscient d’attaques en cours ciblant les clients SharePoint Server sur site, exploitant des vulnérabilités que la mise à jour de sécurité de juillet ne corrige que partiellement ». Selon la société néerlandaise de cybersécurité Eye Security, « plus de 85 serveurs SharePoint ont été compromis dans le monde entier ».

Ces serveurs appartiennent à 54 organisations différentes, indique l’entreprise à nos confrères de Bleeping Computer. On y trouve plusieurs multinationales et des entités gouvernementales. Le chercheur Clément Domingo affirme que la vague d’attaques déferle actuellement sur l’Europe. Néanmoins, « le phénomène est global et s’amplifie d’heure en heure ». Selon lui, plus de 8 000 serveurs sont vulnérables et risquent de se retrouver dans le collimateur des pirates.

À lire aussi : Craignant un nouveau « Crowdstrike », Microsoft revoit la sécurité de Windows

Microsoft corrige (encore) les deux failles

Bonne nouvelle, Microsoft a déployé une série de correctifs d’urgence sur les serveurs SharePoint. Les mises à jour corrigent les deux failles sur Microsoft SharePoint Subscription Edition et SharePoint 2019. Microsoft travaille encore sur les correctifs pour SharePoints 2016.

L’éditeur assure que les nouvelles mises à jour d’urgence comprennent « des protections plus robustes » que les précédents correctifs. On recommande évidemment à toutes les entreprises avec des serveurs SharePoint de télécharger et d’installer les correctifs sans tarder, mais il va falloir aller plus loin que ça. Selon Mandiant, la filiale de Google spécialisée dans la cybersécurité, il faut aussi mettre en place des mesures d’atténuation :

« Si votre organisation utilise une version on-premise de Microsoft SharePoint exposée à Internet, une intervention urgente s’impose. Il ne s’agit pas simplement d’« appliquer le correctif et passer à autre chose ». Les organisations doivent immédiatement : déployer des mesures d’atténuation […] , partir du principe que le système a pu être compromis, vérifier si une intrusion a eu lieu avant l’application de ces mesures, et engager les actions de remédiation nécessaires.[…] Microsoft a précisé que cette vulnérabilité concerne uniquement les versions on-premises de Microsoft SharePoint. SharePoint Online dans Microsoft 365 n’est pas affecté ». 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source :

Microsoft