Discussion :

[Stéphane le calme]

ToolShell : une faille zero day critique d'une sévérité de 9,8 affectant Microsoft SharePoint est exploitée à l’échelle mondiale,
permettant aux pirates de voler des informations d'identification donnant un accès privilégié et persistant

Un vent de panique souffle sur les infrastructures informatiques mondiales. Une faille critique de type zero day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.

Les attaques exploitant cette vulnérabilité ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, telles que les clés de machine ASP.NET, qui pourraient permettre d'autres attaques, telles que la falsification de jetons d'authentification ou l'accès persistant.

Les autorités et les chercheurs tirent la sonnette d'alarme face à l'exploitation massive et active d'une vulnérabilité critique dans Microsoft SharePoint Server, qui permet aux attaquants de s'emparer de données sensibles d'entreprises, notamment des jetons d'authentification utilisés pour accéder aux systèmes à l'intérieur des réseaux. Les chercheurs ont déclaré que toute personne utilisant une instance de SharePoint sur site devrait supposer que son réseau a été violé.

La vulnérabilité, répertoriée sous le nom de CVE-2025-53770, a une note de gravité de 9,8 sur 10, ce qui indique sa nature grave et sa facilité d'exploitation. Elle permet un accès à distance non authentifié aux serveurs SharePoint exposés à Internet. Depuis vendredi, les chercheurs ont commencé à signaler l'exploitation active de cette vulnérabilité, qui affecte les serveurs SharePoint exploités en interne par les clients de l'infrastructure. SharePoint Online et Microsoft 365, hébergés dans le cloud de Microsoft, ne sont pas concernés.

Samedi, Microsoft a confirmé les attaques s'appuyant sur cette faille qui était encore zero day. Un jour plus tard, l'entreprise a mis à jour le message pour mettre à disposition une mise à jour d'urgence corrigeant la vulnérabilité, ainsi qu'une vulnérabilité connexe répertoriée sous le nom de CVE-2025-53771, dans SharePoint Subscription Edition et SharePoint 2019. Les clients qui utilisent l'une ou l'autre de ces versions doivent appliquer les mises à jour immédiatement :

Microsoft a connaissance d'attaques actives ciblant des clients SharePoint Server sur site et exploitant des vulnérabilités partiellement corrigées par la mise à jour de sécurité de juillet.

Microsoft a publié des mises à jour de sécurité qui protègent entièrement les clients utilisant toutes les versions prises en charge de SharePoint affectées par CVE-2025-53770 et CVE-2025-53771. Les clients doivent appliquer ces mises à jour immédiatement pour s'assurer qu'ils sont protégés.

Ces vulnérabilités s'appliquent uniquement aux serveurs SharePoint sur site. SharePoint Online dans Microsoft 365 n'est pas concerné.

Les mises à jour de sécurité de SharePoint sont cumulatives. Si vous appliquez les dernières mises à jour de sécurité liées ici, vous n'avez pas besoin d'appliquer les mises à jour précédentes. Cependant, les deux mises à jour pour SharePoint 2016 et 2019 doivent être appliquées.

La chaîne d'exploitation observée est étroitement liée aux chaînes démontrées en mai lors du concours de piratage Pwn2Own à Berlin pour deux vulnérabilités distinctes. Les vulnérabilités exploitées, identifiées comme CVE-2025-49704 et CVE-2025-49706, ont été partiellement corrigées il y a deux semaines dans la mise à jour mensuelle de Microsoft. Les correctifs de ce week-end pour CVE-2025-53770 et CVE-2025-53771 incluent des « protections plus robustes » pour CVE-2025-49704 et CVE-2025-49706, respectivement, a déclaré Microsoft.

L'émergence de la menace ToolShell

Les chercheurs en sécurité d'Eye Security, une société de cybersécurité basée aux Pays-Bas, ont été parmi les premiers à détecter une « exploitation à grande échelle » le 18 juillet 2025, avant la divulgation publique de Microsoft. Cette détection rapide par la communauté de la sécurité souligne le besoin critique de capacités de surveillance proactive contre les menaces sophistiquées et en évolution rapide.

Les chercheurs ont déclaré avoir trouvé « des dizaines de systèmes activement compromis au cours de deux vagues d'attaques, le 18 juillet vers 18h00 UTC et le 19 juillet vers 07h30 UTC ». Les systèmes, dispersés dans le monde entier, ont été piratés à l'aide de la vulnérabilité exploitée, puis infectés par une porte dérobée basée sur Webshell, appelée ToolShell. Les chercheurs d'Eye Security ont déclaré que la porte dérobée était capable d'accéder aux parties les plus sensibles d'un serveur SharePoint et, à partir de là, d'extraire des jetons qui leur permettaient d'exécuter un code qui permettait aux attaquants d'étendre leur portée à l'intérieur des réseaux.

« Il ne s'agissait pas d'un webshell classique », écrivent les chercheurs d'Eye Security. « Il n'y avait pas de commandes interactives, de shells inversés ou de logique de commande et de contrôle. Au lieu de cela, la page invoquait des méthodes .NET internes pour lire la configuration MachineKey du serveur SharePoint, y compris la ValidationKey. Ces clés sont essentielles pour générer des charges utiles __VIEWSTATE valides, et le fait d'y accéder transforme effectivement toute requête SharePoint authentifiée en une opportunité d'exécution de code à distance ».

En accédant à ces serveurs, qui se connectent souvent à la messagerie Outlook, à Teams et à d'autres services de base, une brèche peut conduire au vol de données sensibles ainsi qu'à la collecte de mots de passe, a noté la société de recherche Eye Security. Ce qui est également alarmant, selon les chercheurs, c'est que les pirates ont eu accès à des clés qui peuvent leur permettre d'entrer à nouveau dans un système même après l'application d'un correctif.

« Le fait de publier un correctif lundi ou mardi n'aide donc pas les personnes qui ont été compromises au cours des 72 dernières heures », a déclaré un chercheur, qui a parlé sous le couvert de l'anonymat parce qu'une enquête fédérale est en cours.

Le piratage du serveur de Microsoft a touché une centaine d'organisations, selon des chercheurs

Qualifiés de zero-day parce qu'ils exploitent une faiblesse numérique non divulguée auparavant, ces piratages permettent aux espions de pénétrer dans des serveurs vulnérables et de déposer potentiellement une porte dérobée afin de garantir un accès continu aux organisations victimes.

Vaisha Bernard, hacker en chef chez Eye Security, qui a découvert vendredi la campagne de piratage visant l'un de ses clients, a déclaré qu'un balayage Internet effectué avec la Shadowserver Foundation avait permis de découvrir près de 100 victimes au total (et ce avant que la technique à l'origine du piratage ne soit largement connue). « C'est sans ambiguïté », a déclaré Bernard. « Qui sait ce que d'autres attaquants ont fait depuis pour placer d'autres portes dérobées ? »

Il a refusé d'identifier les organisations touchées, précisant que les autorités nationales compétentes avaient été informées.

La Shadowserver Foundation a confirmé le chiffre de 100. Elle a indiqué que la plupart des organisations touchées se trouvaient aux États-Unis et en Allemagne, et que des organisations gouvernementales figuraient parmi les victimes.

Un autre chercheur a déclaré que, jusqu'à présent, l'espionnage semblait être le fait d'un seul pirate ou d'un groupe de pirates. « Il est possible que cela change rapidement », a déclaré Rafe Pilling, directeur de Threat Intelligence chez Sophos, une société britannique de cybersécurité.

Microsoft a déclaré avoir « fourni des mises à jour de sécurité et encourage les clients à les installer », a déclaré un porte-parole de la société dans un communiqué.

L'identité de l'auteur du piratage en cours n'est pas clairement établie, mais Alphabet, qui dispose d'une visibilité sur de larges pans du trafic internet, a déclaré qu'elle reliait au moins une partie des piratages à un « acteur malveillant lié à la Chine ».

Le nombre de cibles potentielles reste important

Le FBI a déclaré dimanche qu'il était au courant des attaques et qu'il travaillait en étroite collaboration avec ses partenaires fédéraux et privés, mais il n'a pas donné d'autres détails. Le Centre national de cybersécurité britannique a déclaré dans un communiqué qu'il avait connaissance d'un « nombre limité » de cibles au Royaume-Uni. Un chercheur qui suit la campagne a déclaré qu'elle semblait viser initialement un nombre restreint d'organisations liées au gouvernement.

Selon les données de Shodan, un moteur de recherche qui aide à identifier les équipements liés à l'internet, plus de 8 000 serveurs en ligne pourraient théoriquement avoir déjà été compromis par des pirates. Shadowserver estime ce nombre à un peu plus de 9 000, tout en précisant qu'il s'agit d'un minimum. Parmi ces serveurs figurent de grandes entreprises industrielles, des banques, des auditeurs, des sociétés de soins de santé et plusieurs entités gouvernementales américaines et internationales.

« L'incident SharePoint semble avoir créé un large niveau de compromission sur toute une série de serveurs dans le monde entier », a déclaré Daniel Card, de la société britannique de conseil en cybersécurité PwnDefend. « Il est sage d'adopter une approche fondée sur l'hypothèse d'une violation, et il est également important de comprendre que l'application d'un correctif n'est pas la seule chose à faire dans ce cas ».

L'attaque zero-day n'est que le dernier embarras en date de Microsoft en matière de cybersécurité.

L'année dernière, l'entreprise a été mise en cause par un groupe d'experts du gouvernement américain et de l'industrie pour des lacunes qui ont permis un piratage chinois ciblé en 2023 des courriels du gouvernement américain, y compris ceux de la secrétaire au commerce de l'époque, Gina Raimondo.

L'attaque la plus récente ne compromet que les serveurs hébergés au sein d'une organisation, et non ceux qui sont hébergés dans le cloud, comme Microsoft 365, ont indiqué les responsables de l'entreprise. Après avoir d'abord suggéré aux utilisateurs de modifier les programmes du serveur SharePoint ou de les débrancher d'Internet, l'entreprise a publié dimanche soir un correctif pour une version du logiciel. Deux autres versions restent vulnérables et Microsoft a déclaré qu'elle continuait à travailler à la mise au point d'un correctif. L'entreprise n'a pas souhaité faire d'autres commentaires.

« Tous ceux qui ont un serveur SharePoint hébergé ont un problème », a déclaré Adam Meyers, vice-président principal de CrowdStrike, une société de cybersécurité. « Il s'agit d'une vulnérabilité importante ».

« Nous constatons des tentatives d'exploitation de milliers de serveurs SharePoint dans le monde entier avant qu'un correctif ne soit disponible », a déclaré Pete Renals, responsable de l'unité 42 de Palo Alto Networks. « Nous avons identifié des dizaines d'organisations compromises dans les secteurs commercial et gouvernemental ».

Eye Security a déclaré avoir repéré plus de 50 brèches, notamment dans une entreprise énergétique d'un grand État et dans plusieurs agences gouvernementales européennes. Au moins deux agences fédérales américaines ont vu leurs serveurs violés, selon les chercheurs, qui ont déclaré que les accords de confidentialité avec les victimes les empêchaient de nommer les cibles.

Un fonctionnaire d'un État de l'est des États-Unis a déclaré que les attaquants avaient « détourné » un répertoire de documents mis à la disposition du public pour aider les habitants à comprendre le fonctionnement de leur gouvernement. L'agence concernée ne peut plus accéder à ces documents, mais il n'a pas été précisé s'ils avaient été supprimés.

« Nous devrons remettre ces documents à disposition dans un autre dépôt », a déclaré le fonctionnaire, qui s'est exprimé sous couvert d'anonymat pour discuter d'une situation en cours d'évolution.

Sources : Microsoft (1, 2), CISA, Eye Security, Qualys, National Cyber Security Center

Et vous ?

Quelle lecture faites-vous de cette situation ?

La centralisation des outils numériques autour d’un nombre réduit de fournisseurs (comme Microsoft) constitue-t-elle une menace pour la résilience numérique ?

Qui porte la responsabilité en cas d’exploitation d’une faille comme CVE-2025-53770 : l’éditeur, l’administrateur, ou l’organisation cliente ?

Le rapport souligne que les protections d'identité comme la MFA et le SSO sont contournées par cette vulnérabilité. Comment cela devrait-il influencer la stratégie de sécurité globale des entreprises, en particulier en ce qui concerne la défense en profondeur et la sécurité au niveau des applications?

Au-delà de l'application des correctifs, quelles sont les mesures les plus critiques que les organisations doivent prendre immédiatement pour s'assurer qu'elles ne sont pas encore vulnérables, notamment en ce qui concerne la rotation des clés de machine?

[Mathis Lucas]

L'agence américaine chargée des armes nucléaires figure parmi les 400 organisations compromises par les pirates informatiques chinois qui ont exploité une faille zero-day critique affectant Microsoft SharePoint

Microsoft a révélé que des pirates informatiques chinois ont exploité avec succès une vulnérabilité zero-day critique touchant sa plateforme populaire SharePoint. Les rapports font état d'attaques coordonnées visant les serveurs SharePoint à l'échelle mondiale. Les pirates auraient compromis environ 400 organisations, dont l'agence américaine chargée de l'armement nucléaire. Les experts en sécurité indiquent que ce nombre pourrait augmenter au fur et à mesure que l'enquête avance. Cette attaque fait suite à l'intrusion profonde de Salt Typhoon dans le réseau de la Garde nationale d'un État américain, qui a compromis toutes les forces américaines.

Un vent de panique souffle sur les infrastructures informatiques mondiales après le rapport de Microsoft sur le piratage de son logiciel SharePoint. SharePoint est essentiellement un système de gestion de contenu d'entreprise qui permet aux équipes de partager et de gérer des documents et des informations de manière efficace. Cela inclut le stockage, la gestion des documents et les flux de travail, ainsi que la collaboration en temps réel sur des projets.

D'après Microsoft, des acteurs malveillants chinois, notamment des pirates informatiques affiliés à l'État, ont exploité une faille zero-day dans SharePoint. Des recherches indiquent que plusieurs centaines d'agences gouvernementales et d'organisations ont été piratées à travers le monde. « Les pirates informatiques ont déjà piraté 400 agences, entreprises et autres groupes », a déclaré la société néerlandaise de cybersécurité Eye Security dans un rapport.

« Nous pensons que ce nombre pourrait continuer à augmenter à mesure que l'enquête progresse », ajoute-t-elle. Eye Security rapporte que la majorité des victimes se trouvent aux États-Unis, tandis que Bloomberg a rapporté que l'agence américaine chargée de superviser les armes nucléaires (National Nuclear Security Administration) figurait parmi les victimes. Une source anonyme a déclaré à la publication qu'aucune information sensible n'a été volée.

« Le vendredi 18 juillet, l'exploitation d'une vulnérabilité zero-day de Microsoft SharePoint a commencé à affecter le département de l'Énergie. Le département a été très peu affecté grâce à son utilisation généralisée du cloud Microsoft 365 et à ses systèmes de cybersécurité très performants. Seul un très petit nombre de systèmes a été touché. Tous les systèmes affectés sont en cours de restauration », a déclaré un porte-parole du ministère de l'Énergie.

Microsoft a déclaré avoir observé trois groupes – Linen Typhoon et Violet Typhoon, soutenus par l'État chinois, et Storm-2603, qui serait basé en Chine – utilisant « des failles de sécurité récemment révélées » pour cibler les serveurs connectés à Internet hébergeant la plateforme.

Microsoft SharePoint touché par une faille critique de gravité de 9,8 sur 10

Selon Microsoft, une faille critique de type zero-day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.

Les attaques exploitant cette faille ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells Web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, comme les clés de machine ASP.NET, qui pourraient permettre d'autres attaques (falsification de jetons d'authentification, accès persistant...).

Qualifiés de zero-day parce qu'ils exploitent une faiblesse numérique non divulguée auparavant, ces piratages permettent aux acteurs de la menace de pénétrer dans des serveurs vulnérables et de déposer potentiellement une porte dérobée afin de garantir un accès continu aux organisations victimes.

Le FBI a déclaré le 20 juillet qu'il est au courant des attaques et qu'il travaille en étroite collaboration avec ses partenaires fédéraux et privés, sans donner d'autres détails. Le Centre national de cybersécurité britannique a déclaré dans un communiqué qu'il a connaissance d'un nombre limité de cibles au Royaume-Uni. Un chercheur qui suit la campagne a déclaré qu'elle semblait viser initialement un nombre restreint d'organisations liées au gouvernement.

« L'incident SharePoint semble avoir créé un large niveau de compromission sur toute une série de serveurs dans le monde entier », a déclaré Daniel Card, de la société britannique de conseil en cybersécurité PwnDefend. « Il est sage d'adopter une approche fondée sur l'hypothèse d'une violation, et il est également important de comprendre que l'application d'un correctif n'est pas la seule chose à faire dans ce cas ». Microsoft appelle à installer les correctifs.

Microsoft alerte les clients sur les risques associés aux serveurs vulnérables

Selon Adam Meyers, vice-président senior de CrowdStrike, les violations liées à l'exploitation de la faille touchant SharePoint sont en cours depuis au moins le 7 juillet 2025. « Les premières exploitations ressemblaient à des activités parrainées par le gouvernement, puis se sont étendues à des piratages qui ressemblent à ceux de la Chine », a déclaré Adam Meyers à Bloomberg News. L'enquête de CrowdStrike sur cette campagne est toujours en cours.

Dans son article de blogue, Microsoft a déclaré avoir identifié deux organisations cybercriminelles réputées, Linen Typhoon et Violet Typhoon (tous deux soutenus par l'État chinois), utilisant les vulnérabilités de sécurité critiques récemment révélées pour cibler les serveurs connectés à Internet hébergeant SharePoint. Le géant de technologie a également mentionné Storm-2603, un groupe de pirates informatiques qui seraient également basés en Chine.

Microsoft affirme avoir une « confiance moyenne » dans le fait que le groupe de pirates informatiques Storm-2603 soit basé en Chine, mais précise qu'il n'a pas établi de liens entre ce groupe et d'autres acteurs malveillants chinois. Le géant de Redmond a averti ses clients que d'autres acteurs malveillants pourraient également cibler les systèmes SharePoint sur site afin d'exploiter leurs vulnérabilités si les mises à jour de sécurité n'ont pas été installées.

Selon Microsoft, ces clients risquent de voir leurs données compromises par les acteurs malveillants. Parmi les victimes de cette attaque figurent le ministère américain de l'Éducation, la NSA, le ministère du Revenu de Floride et l'Assemblée générale du Rhode Island, qui est l'organe législatif de l'État océanique. Sur le plan international, des gouvernements en Europe, en Afrique et au Moyen-Orient ont également été visés par les acteurs de la menace.

Eye Security a déclaré dans un communiqué de presse avoir détecté une « activité inhabituelle » sur le serveur SharePoint local d'un client dans la soirée du 18 juillet. La société a ajouté avoir ensuite analysé plus de 8 000 serveurs SharePoint accessibles au public à travers le monde et identifié des dizaines de systèmes compromis, confirmant que les pirates mènent une campagne d'exploitation massive coordonnée. Les investigations se poursuivent.

Les États-Unis sont confrontés à une vague de cyberattaques majeures

Un rapport du département américain de la Défense (DOD) révèle que le groupe de cyberespionnage Salt Typhoon a pénétré dans le réseau de la Garde nationale d'un État américain. L'intrusion a duré neuf mois, ce qui a permis au groupe d'accéder à des données militaires et policières sensibles. Un expert a averti : « à l'avenir, toutes les forces armées américaines doivent désormais partir du principe que leurs réseaux sont compromis et seront dégradés ».

Salt Typhoon illustre les risques liés aux portes dérobées intégrées volontairement aux systèmes chiffrés et démontre pourquoi elles ne doivent jamais être autorisées. La manière dont la violation s'est produite n'a pas été évoquée, mais le rapport a souligné que Salt Typhoon est connu pour exploiter les vulnérabilités existantes (CVE) des routeurs Cisco et du matériel similaire. Ces appareils sont souvent accusés d'intégrer des portes dérobées.

Salt Typhoon est un acteur de menace persistante avancé. Les experts en cybersécurité occidentaux soupçonnent le groupe d'être dirigé par le ministère chinois de la Sécurité d'État (MSS). Salt Typhoon se spécialise dans l'espionnage informatique, en particulier contre des cibles aux États-Unis, comme : des agences gouvernementales, des infrastructures critiques (réseaux électriques, transports...), des entités militaires, des entreprises technologiques, etc.

Il a mené des attaques d'envergure contre les États-Unis. Ces dernières années, Salt Typhoon a infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et des politiciens comme Donald Trump et Kamala Harris.

Selon le rapport, Salt Typhoon a collecté la configuration du réseau compromis et son trafic de données avec les réseaux de ses homologues dans tous les autres États américains et dans au moins quatre territoires américains. Les données collectées comprenaient également les identifiants des administrateurs de ces réseaux et les schémas des réseaux, qui pourraient être utilisés pour faciliter les piratages ultérieurs de ces unités par Salt Typhoon.

Le rapport indique que « le succès de Salt Typhoon dans la compromission des réseaux de la Garde nationale de l'armée à l'échelle nationale pourrait compromettre les efforts locaux en matière de cybersécurité visant à protéger les infrastructures critiques », en partie parce que « ces unités sont souvent intégrées aux centres de fusion des États chargés de partager les informations sur les menaces, y compris les cybermenaces ». Le risque est donc énorme.

Conclusion

Les États-Unis sont confrontés à des cyberattaques dévastatrices depuis quelques années, avec le piratage de SolarWinds en 2020 et celui qui a visé Colonial Pipeline en 2021. Ces attaques ont révélé les faiblesses des certaines infrastructures critiques et vitales des États-Unis. Les défenses cybernétiques du pays sont mises à rude épreuve. Aujourd'hui, les experts en cybersécurité expriment leur profonde inquiétude quant à la gravité de la menace ToolShell.

Michael Sikorski, directeur technique et responsable du renseignement sur les menaces pour l'unité 42 chez Palo Alto Networks, a décrit la situation comme « une menace très grave et très urgente ». Il a notamment souligné les risques posés par l'intégration profonde de SharePoint dans l'écosystème Microsoft, qui comprend des services populaires comme Office, Teams, OneDrive et Outlook, tous contenant des données précieuses pour les pirates.

Pourtant, l'équipe Trump a démantelé systématiquement plusieurs organes consultatifs essentiels en matière de cybersécurité. En particulier, le Cyber Safety Review Board (CSRB), créé sous l'administration Biden pour enquêter sur les incidents cybernétiques majeurs, a été dissous en mettant fin aux fonctions de tous ses membres. Cette décision a interrompu les enquêtes sur les cyberattaques importantes, notamment les piratages chinois Salt Typhoon.

Depuis que la nouvelle administration est entrée en fonction en janvier 2025, des centaines de cadres clés liés aux programmes de défense cybernétique des États-Unis ont été licenciés et des agences dédiées à la cybersécurité ont été entièrement dissoutes. Les experts avaient tiré la sonnette d'alarme.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la vague d'attaques contre les serveurs SharePoint à l'échelle mondiale ?
SharePoint est profondément intégré dans l'écosystème Microsoft. Quels sont les risques pour les clients ?
Que pensez-vous des cyberattaques qui ont visé les installations critiques des États-Unis et leurs entreprises ces dernières années ?
L'administration Trump procède à des coupes dans les programmes de cybersécurité malgré l'augmentation des menaces. Qu'en pensez-vous ?

Voir aussi

ToolShell : une faille zero day critique affectant Microsoft SharePoint exploitée à l'échelle mondiale, permettant aux pirates de voler des informations d'identification pour un accès privilégié et persistant

« Toutes les forces américaines doivent désormais supposer que leurs réseaux sont compromis », avertit un expert après que Salt Typhoon a infiltré le réseau de la Garde nationale d'un État américain

Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms, démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées

[Jade Emy]

Microsoft a fait appel à des ingénieurs basés en Chine pour maintenir SharePoint ce qui l'aurait rendu vulnérable, l'application a été exploitée par au moins trois groupes de cybercriminels affiliés à la Chine.

Précédemment, Microsoft a révélé que des pirates informatiques chinois ont exploité avec succès une vulnérabilité zero-day critique touchant sa plateforme populaire SharePoint. Un nouveau rapport a révélé que Microsoft aurait fait appel à des ingénieurs basés en Chine pour maintenir SharePoint, ce qui l'a rendu vulnérable. Un système interne de suivi du travail a montré que des employés basés en Chine ont récemment corrigé des bogues pour SharePoint sur site.

Un vent de panique souffle sur les infrastructures informatiques mondiales. Une faille critique de type zero day affectant Microsoft SharePoint (identifiée sous le nom de CVE-2025-53770) est activement exploitée dans le monde entier. Classée avec un indice de gravité de 9,8 sur 10, cette vulnérabilité a conduit Microsoft à publier en urgence un correctif de sécurité. Malgré cela, les attaques se poursuivent, révélant l’ampleur de la menace qui pèse sur les réseaux d’entreprise et les institutions gouvernementales.

Les attaques exploitant cette vulnérabilité ont été baptisées « ToolShell » et peuvent conduire à une compromission complète du serveur ciblé, y compris l'accès aux données sensibles et la possibilité d'installer des shells web malveillants pour un accès persistant. Les attaquants peuvent exfiltrer des données sensibles, telles que les clés de machine ASP.NET, qui pourraient permettre d'autres attaques, telles que la falsification de jetons d'authentification ou l'accès persistant.

Les rapports font état d'attaques coordonnées visant les serveurs SharePoint à l'échelle mondiale. Les pirates auraient compromis environ 400 organisations, dont l'agence américaine chargée de l'armement nucléaire. Les experts en sécurité indiquent que ce nombre pourrait augmenter au fur et à mesure que l'enquête avance. Cette attaque fait suite à l'intrusion profonde de Salt Typhoon dans le réseau de la Garde nationale d'un État américain, qui a compromis toutes les forces américaines.

Microsoft a identifié au moins trois groupes de menaces soupçonnés d'être affiliés à la Chine qui ont exploité des vulnérabilités connues de SharePoint : Linen Typhoon, Violet Typhoon et Storm-2603, ce dernier ayant déployé le ransomware Warlock. Mais un nouveau rapport a révélé que Microsoft aurait fait appel à des ingénieurs basés en Chine pour maintenir SharePoint, ce qui l'a rendu vulnérable.

Quel est le lien entre la Chine et l'exploit ToolShell SharePoint ?

Une chaîne d'exploits pour une attaque d'exécution de code à distance (RCE) sur des serveurs SharePoint sur site, baptisée ToolShell, a été identifiée pour la première fois lors d'un concours de piratage en mai ; cependant, Microsoft n'a publié de correctifs pour les vulnérabilités qui l'ont rendue possible qu'à l'occasion du Patch Tuesday de juillet. Microsoft recommande notamment à tous les opérateurs d'un serveur SharePoint sur site, qu'il s'agisse de la version 2016 ou 2019, de déployer dès que possible les mises à jour de sécurité hors bande appropriées.

Dans l'intervalle, des dizaines de systèmes ont été piratés, notamment ceux appartenant à l'Administration nationale de la sécurité nucléaire et au Département de la sécurité intérieure. Les attaques ToolShell réussies permettent aux pirates d'accéder au contenu SharePoint, de déployer du code malveillant et potentiellement de se déplacer latéralement vers d'autres services Windows, tels que Outlook, Teams et OneDrive.

Un porte-parole du ministère de l'Énergie a déclaré à Bloomberg que l'Agence nationale de sécurité nucléaire avait été "très peu affectée" par l'attaque SharePoint, tandis qu'un porte-parole du ministère de la Sécurité intérieure a déclaré à Nextgov qu'il n'avait trouvé "aucune preuve d'exfiltration de données".

Selon ProPublica, il est possible que Microsoft ait augmenté le risque d'exploitation des vulnérabilités de SharePoint par des acteurs malveillants en Chine en confiant sa maintenance à des ingénieurs basés dans ce pays pendant plusieurs années. Un système interne de suivi du travail a montré que des employés basés en Chine ont récemment corrigé des bogues pour SharePoint sur site.

Microsoft a déclaré à ProPublica que l'équipe basée en Chine "est supervisée par un ingénieur basé aux États-Unis et soumise à toutes les exigences de sécurité et à la révision du code par les responsables" et que "des mesures sont déjà en cours pour transférer ce travail vers un autre site". Une enquête distincte menée par la publication a révélé que Microsoft s'appuie depuis dix ans sur des employés basés en Chine pour la maintenance des systèmes cloud des départements fédéraux, mais que les employés américains n'ont souvent pas l'expertise technique nécessaire pour les contrôler correctement.

La Chine dispose d'un certain nombre de lois qui permettent à ses autorités de demander l'accès aux données et, compte tenu de l'escalade des tensions géopolitiques entre elle et les États-Unis, cela signifie que tout travail sensible effectué par des ingénieurs basés en Chine pourrait faire l'objet d'un examen minutieux ou d'une compromission de la part de l'État.

Ces rapports interviennent alors que la Chine a récemment accusé les États-Unis d'exploiter depuis des années une vulnérabilité dans Microsoft Exchange pour accéder aux systèmes des entreprises chinoises du secteur de la défense. Selon la Cyber Security Association of China (CSAC), une organisation affiliée à l'organisme chinois de surveillance d'Internet, des acteurs américains auraient délibérément exploité une vulnérabilité dans Microsoft Exchange pour s'introduire profondément dans les systèmes informatiques d'une entreprise de défense stratégique en Chine. Les attaquants auraient eu accès aux serveurs internes pendant des mois sans être détectés, peut-être dans le but d'intercepter des données militaires ou de perturber des infrastructures critiques.

Source : ProPublica, Bloomberg, Microsoft

Et vous ?

Pensez-vous que ces rapports sont crédibles ou pertinents ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois, qui se focalise sur les outils de gestion à distance et les applications cloud

Un centre chinois de cybersécurité accuse les États-Unis de piratage et de vol de secrets technologiques, tandis que Washington enquête sur le chinois TP-Link en raison de menace pour la sécurité nationale

« Toutes les forces américaines doivent désormais supposer que leurs réseaux sont compromis », avertit un expert après que Salt Typhoon a infiltré le réseau de la Garde nationale d'un État américain

[Invité]

Notons que le premier hack de mai lors d'une conférence, provient d'un hacker qui a juste épluché la doc de share point. Le patch tuesday de juillet, incomplet, est-il l'œuvre d'un ingénieur chinois ? L"excuse est aussi cocasse que le stagiaire. Je ne voudrais pas traiter MS de guignol mais l'intention y est lorsqu'une erreur de conception s'ajoute à une erreur de correction.

Ce serait rigolo si ce n'était pas aussi grave un tel niveau d'incompétence mettant en danger des milliers de clients à travers le monde.

[kain_tn]

Notons que le premier hack de mai lors d'une conférence, provient d'un hacker qui a juste épluché la doc de share point. Le patch tuesday de juillet, incomplet, est-il l'œuvre d'un ingénieur chinois ? L"excuse est aussi cocasse que le stagiaire. Je ne voudrais pas traiter MS de guignol mais l'intention y est lorsqu'une erreur de conception s'ajoute à une erreur de correction.

Ce serait rigolo si ce n'était pas aussi grave un tel niveau d'incompétence mettant en danger des milliers de clients à travers le monde.

Pourquoi blâmer tout de suite le stagiaire? C'est peut-être tout simplement la conséquence de la politique dangereuse de Satya Nadella en matière d'IA: virer du monde et faire développer le plus de code possible par ses fameux agents IA. Et ce n'est pas moi qui le dit, mais les articles sur Developpez.