Microsoft et la CISA (Cybersecurity and Infrastructure Security Agency) ont émis une alerte le dimanche 20 juillet 2025 concernant une nouvelle vulnérabilité critique affectant les serveurs Microsoft SharePoint on‑premise. Identifiée comme CVE‑2025‑53770, cette faille permet l’exécution de code à distance (RCE) par un attaquant non authentifié, compromettant totalement le serveur visé.
Son exploitation active a été observée à partir du 18 juillet 2025, ce qui en fait une 0‑day préoccupante pour les organisations utilisant SharePoint sur site (aucun correctif officiel n’étant disponible à cette date).
L’exposé des faits
Selon l’alerte publiée par CISA, la vulnérabilité CVE‑2025‑53770 est activement exploitée dans la nature, ciblant spécifiquement les serveurs SharePoint on‑premise. Microsoft a confirmé qu’il s’agit d’une variante de la faille CVE‑2025‑49706 récemment corrigée (Patch Tuesday du 8 juillet 2025).
Cette nouvelle variante, surnommée “ToolShell” dans les rapports publics, offre aux attaquants un accès sans authentification aux serveurs SharePoint vulnérables. Concrètement, l’exploitation permet de prendre le contrôle complet du serveur : lecture de l’ensemble du contenu SharePoint, accès au système de fichiers et aux configurations internes, et exécution de code arbitraire à distance.
Les premières activités malveillantes liées à ToolShell ont été détectées entre le 18 et le 19 juillet 2025. Des indicateurs techniques spécifiques ont émergé de ces attaques. Notamment, des requêtes HTTP POST vers l’URL /_layouts/15/ToolPane.aspx?DisplayMode=Edit sur les serveurs SharePoint ont été identifiées comme déclencheur de l’exploitation – cette page layout sert de vecteur pour injecter une charge malveillante (webshell) sur le serveur.
Par ailleurs, plusieurs adresses IP suspectes ont été associées à ces intrusions initiales (telles que 107.191.58[.]76, 104.238.159[.]149 et 96.9.125[.]147), observées pendant la vague d’attaques des 18-19 juillet.
Face à l’ampleur de la menace, Microsoft a publié un avis de sécurité urgent le 19 juillet 2025 confirmant l’absence de correctif immédiat pour CVE-2025-53770 et détaillant des mesures de mitigation temporaires. Il est notamment préconisé d’activer l’intégration AMSI (Antimalware Scan Interface) au sein de SharePoint et de déployer Microsoft Defender Antivirus sur tous les serveurs SharePoint afin de bloquer les tentatives d’exploitation sans authentification.
Microsoft indique travailler activement sur un correctif, qui sera diffusé une fois prêt, et que des mises à jour de guidage seront fournies entre-temps.
En complément, la CISA recommande plusieurs actions immédiates pour réduire les risques liés à cette compromission RCE :
- Appliquer les guides Microsoft : examiner les bulletins et mises à jour de sécurité publiés par Microsoft le 8 juillet 2025 concernant SharePoint (notamment l’avis relatif à CVE‑2025‑49706) et appliquer toutes les mises à jour/patchs disponibles. Ces ressources fournissent également des mesures de détection et de prévention à mettre en œuvre.
- Surveiller les requêtes suspectes : mettre en place une supervision spécifique pour détecter tout appel POST vers l’URL /_layouts/15/ToolPane.aspx?DisplayMode=Edit, un indicateur clé d’exploitation de ToolShell sur un serveur SharePoint.
- Rechercher les indicateurs réseau : analyser les journaux réseau et firewall à la recherche de connexions impliquant les IPs malveillantes connues (107.191.58.76, 104.238.159.149, 96.9.125.147), en particulier sur la période du 18-19 juillet 2025 correspondant au pic d’activité initial.
- Renforcer les défenses périmétriques : mettre à jour les règles des systèmes de prévention d’intrusion (IPS) et des pare-feu applicatifs (WAF) afin de bloquer les patterns d’exploitation et comportements anormaux associés à cette vulnérabilité. CISA renvoie notamment à ses guides sur la configuration de SIEM/SOAR pour affiner ces détections.
- Améliorer la journalisation : activer une journalisation exhaustive des événements sur les serveurs SharePoint pour faciliter l’identification de toute activité d’exploitation. Un monitoring accru permet de repérer rapidement une compromission en cours ou passée (voir les bonnes pratiques CISA en matière de logs et détection d’incidents).
- Limiter les privilèges : procéder à un audit des permissions sur SharePoint et restreindre autant que possible les privilèges sur les pages de layout et les comptes administrateurs. Réduire la surface d’attaque en restreignant les droits excessifs peut empêcher ou limiter l’impact de l’exploitation.
Enfin, des rapports techniques indépendants publiés par des acteurs du secteur (notamment Eye Security et Unit42 de Palo Alto Networks) confirment l’ampleur de la campagne ToolShell et fournissent des détails supplémentaires sur les indicateurs de compromission liés à cette faille.
Ces sources externes signalent une compromission massive de serveurs SharePoint non corrigés à travers le monde et appuient les recommandations de vigilance accrue pour tous les utilisateurs de SharePoint on-premise.
Informations techniques
- CVE : CVE-2025-53770 (variante non corrigée de CVE-2025-49706)
- Alias : ToolShell (nom de campagne/outil d’exploitation associé)
- Gravité : Critique – score CVSS v3.1 de 9.8 (RCE sans authentification, impact complet sur confidentialité, intégrité, disponibilité)
- Type de faille : Désérialisation de données non fiables (deserialization) entraînant une exécution de code arbitraire (CWE-502)
- Vecteur d’attaque : Exploitation à distance via une page SharePoint vulnérable (ToolPane.aspx), permettant l’upload d’un fichier malveillant (webshell ASPX, ex. spinstall0.aspx) puis l’exécution de commandes sur le serveur
- Systèmes affectés : Microsoft SharePoint Server on-premise – versions 2016, 2019, et Subscription Edition (installations locales non à jour au 8 juillet 2025). SharePoint Online (Microsoft 365) n’est pas impacté
- Correctif : Aucun correctif disponible à la date du 20/07/2025 (0‑day sous exploitation active). Microsoft prépare un patch à venir et propose des mitigations temporaires (ex : activation d’AMSI, renforcement EDR/AV) en attendant la mise à jour de sécurité.
En conclusion
J’ai produit cet article avec une limitation aux faits rapportés dans la source officielle fournie. Il vise à présenter de manière neutre et synthétique les informations clés relatives à la vulnérabilité CVE-2025-53770 et à son exploitation active, telles qu’elles ont été communiquées par les sources de référence. Les éléments ci-dessus proviennent exclusivement de l’alerte CISA du 20 juillet 2025 et des ressources citées, sans extrapolation ni commentaire additionnel.
En espérant que cela vous sera utile.
Enjoy !
