Ce été, Microsoft SharePoint, la plateforme essentielle de collaboration d’entreprise et de gestion documentaire, est devenue l’un des sujets majeurs de préoccupations en cybersécurité à l’échelle mondiale. Des campagnes d’exploitation massives de vulnérabilités critiques ont mis en danger des milliers de serveurs à travers le monde, incluant des réseaux de multinationales, banques, opérateurs de télécommunications, institutions de santé et organismes gouvernementaux.

Les experts et agences de cybersécurité ont qualifié la situation de critique, poussant Microsoft à déployer des mises à jour d’urgence et des mesures de mitigation. Cependant, ces actions n’ont pas suffi à contenir la propagation des attaques.

L’origine du problème remonte à mai 2025, lors de la conférence de hacking éthique Pwn2Own à Berlin, où une série de vulnérabilités critiques sur SharePoint, baptisées « ToolShell », ont été révélées. Ces failles, référencées sous CVE-2025-49704 et CVE-2025-49706, permettent une exécution de code à distance sans authentification préalable. Suite à leur divulgation responsable, Microsoft a publié des correctifs début juillet, mais ces derniers se sont avérés insuffisants face à la menace.

En effet, au cours du week-end, il a été confirmé que des campagnes actives exploitaient une chaine de vulnérabilités, utilisant ToolShell pour contourner les protections, installer des portes dérobées comme « spinstall0.aspx » et permettre le vol de clés cryptographiques ainsi que la prise de contrôle complète des serveurs. Ces nouvelles vulnérabilités, désignées CVE-2025-53770 et CVE-2025-53771, sont classées comme des failles zero-day.

Selon les analyses des cabinets Censys et Eye Security, plus de 9 700 serveurs SharePoint en mode local sont exposés en ligne, avec au moins 400 serveurs compromis actifs lors de quatre vagues d’attaques entre le 17 et le 21 juillet. Parmi les victimes figure l’Administration nationale de la sécurité nucléaire des États-Unis, responsable de l’arsenal nucléaire américain, sans qu’aucune fuite de données classifiées n’ait été confirmée publiquement.

Microsoft a attribué l’exploitation de ces vulnérabilités à trois groupes de cyberespionnage liés au gouvernement chinois : Linen Typhoon, Violet Typhoon et Storm-2603. Ce dernier aurait non seulement dérobé des identifiants et clés cryptographiques mais aurait également déployé un ransomware nommé Warlock, selon Microsoft Threat Intelligence. La diplomatie chinoise a rejeté ces accusations, les qualifiant de infondées et réaffirmant leur opposition à toute activité cybercriminelle.

Même après l’application des correctifs, la menace persiste, puisque des attaquants peuvent conserver un accès permanent via le vol de clés internes (Machine Keys) permettant la génération de tokens valides pour SharePoint, facilitant l’exécution de commandes à distance. Des spécialistes indiquent que des mesures comme l’activation de l’AMSI (Interface de Scan Antimalware) ne suffisent pas, et qu’il est impératif de patcher, de faire tourner les clés cryptographiques et de redémarrer tous les serveurs affectés.

Microsoft a publié de nouvelles mises à jour de sécurité (KB5002760, KB5002754 et KB5002768) pour SharePoint Server 2016, 2019 et la version abonnés, en recommandant également de faire tourner les clés ASP.NET et de redémarrer IIS sur tous les systèmes. La CISA, agence américaine de cybersécurité, a inscrit ces vulnérabilités dans sa liste des menaces exploitées activement et exige que les agences fédérales appliquent les correctifs d’ici le 23 juillet 2025.

Les responsables de la sécurité doivent comprendre que cette chaîne d’exploitation leur permet de réaliser des actions telles que l’exécution de code à distance sans authentification, la prise de contrôle des comptes internes, le vol de clés pour maintenir l’accès même après la correction, ou encore la diffusion de rançongiciels et la latéralisation dans le réseau Windows. La connexion entre SharePoint et d’autres services comme Teams, OneDrive ou Outlook accroît également l’impact des compromissions.

Face à cette situation, il est crucial que les organisations utilisant SharePoint en mode local prennent immédiatement des mesures : appliquer les derniers correctifs, faire tourner les clés Machine Keys, redémarrer IIS, rechercher des indicateurs de compromission — comme les fichiers « spinstall0.aspx » ou des connexions à certains domaines — et isoler ou déconnecter les serveurs compromis tout en consultant des experts en réponse aux incidents.

Ce incident marque un tournant inquiétant pour la sécurité des environnements d’entreprise, révélant la vulnérabilité des déploiements on-premise face à des attaques rapides et sophistiquées. Comme le soulignent les spécialistes d’Eye Security, « il ne s’agit pas d’un risque théorique : c’est une menace active. Ceux qui n’agissent pas rapidement risquent d’être infectés à leur insu ».