Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique sur Sharepoint

Score CVSS :
9.8
Date de publication :
18/7/2025
Date de dernière mise à jour :
21/7/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Microsoft SharePoint Server 2019

• Microsoft SharePoint Enterprise Server 2016

• Microsoft SharePoint Server Subscription Edition

Prérequis

• Accès au Sharepoint

• Une version vulnérable des produits concernés

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Déploiement de malware sur l’actif

• Vol de données

Résumé

Microsoft vient de publier plusieurs CVE concernant le produit SharePoint, qui permettent de compromettre le serveur à distance

- CVE-2025-53770 & CVE-2025-53771 : Deux vulnérabilités affectant les endpoints /layouts/15/ToolPane.aspx et /layouts/SignOut.aspx permettent à un attaquant non authentifié de contourner les mécanismes d’authentification. Une fois l’accès obtenu, l’attaquant peut déposer un fichier .aspx malveillant afin d’établir une persistance et exécuter du code avec les privilèges du service de SharePoint sur le serveur.Une fois qu'ils ont pris le contrôle du serveur, les attaquants peuvent voler des données sensibles, se déplacer latéralement au sein du réseau, ou encore tenter une élévation de privilèges sur ce serveur afin d'accéder aux informations des comptes à hauts privilèges, compromettant ainsi l’ensemble de votre système d’information.

À l’heure actuelle, plusieurs traces d’exploitation par des groupes d’attaquants ont été signalées, comme le rapporte Eye Security.

Des preuves de concept (PoC) sont également disponibles, ce qui augmente significativement le risque d’exploitation à grande échelle.

Etant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez vérifier sur les IOC ci-dessous:


  • 107.191.58[.]76
  • 104.238.159[.]149
  • 96.9.125[.]147
  • 103.186.30[.]186
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
  • Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0
  • POST request : /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx avec le HTTP Header qui est: “Referer: /_layouts/SignOut.aspx”
  • GET request sur le fichier malveillant ASPX file in /_layouts/15/spinstall0.aspx
  • 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 – SHA256 hash du fichier spinstall0.aspx
  • C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx – répertoire qui contient le fichier aspx

Remédiation :

Mettre à jour selon la CVE et la version vulnérable:

  • SharePoint Server 2019 (KB5002741)
  • SharePoint Enterprise Server 2016 (KB5002744)
  • SharePoint Server Subscription Edition (KB5002768)

Le détail est disponible dans les liens en références.

Mitigations :

• Déconnecter SharePoint d’internet permet de réduire le risque d’exploitation

Références

https://research.eye.security/sharepoint-under-siege/

https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

https://thehackernews.com/2025/07/critical-microsoft-sharepoint-flaw.html

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité