Une grave vulnérabilité d’exécution de code à distance, identifiée comme CVE-2025-53770, est activement exploitée par des attaquants à l’échelle mondiale, suscitant des alarmes dans l’industrie. Ce défaut, qui affecte les serveurs locaux de Microsoft SharePoint, permet aux intrus d’accéder sans authentification à des systèmes, compromettant des fichiers et des configurations internes.
Attention, utilisateurs de SharePoint !
Microsoft a exhorté les utilisateurs de SharePoint à configurer correctement l’interface de scan antimalware ou à déconnecter leurs serveurs d’Internet jusqu’à ce qu’un correctif d’urgence soit publié. Jusqu’à présent, des correctifs ont été lancés pour deux des trois versions affectées, mais une solution pour SharePoint Server 2016 est encore attendue. La situation est devenue critique rapidement, avec des centaines d’organisations, y compris des entités gouvernementales et privées aux États-Unis, en Allemagne, en France et en Australie, déjà compromises.
Les chercheurs ont observé que les attaquants utilisent la vulnérabilité connue sous le nom de “ToolShell” pour infiltrer des réseaux et ont confirmé le vol de clés cryptographiques, ainsi que l’exfiltration de données sensibles. Des experts avertissent que cette vulnérabilité reflète un contournement des correctifs précédents de Microsoft et que les attaquants mettent en place des portes dérobées persistantes pour maintenir un accès à long terme.
L’Agence de cybersécurité et d’infrastructure (CISA) des États-Unis a émis des alertes concernant les attaques en cours et a ajouté la vulnérabilité à son catalogue de défauts exploités. Dans ce contexte, au moins deux vagues d’attaques ont été identifiées et les organisations disposant d’instances vulnérables de SharePoint en ligne sont averties qu’elles doivent enquêter sur d’éventuels compromissions et être prêtes à faire tourner les clés affectées.
Cette situation souligne la gravité des risques associés à l’exposition des serveurs SharePoint à Internet. Les experts suggèrent que la déconnexion temporaire des serveurs est une mesure urgente jusqu’à ce qu’une solution définitive soit trouvée.