Détection de CVE-2025-53770 : Vulnérabilité Zero-Day de Microsoft SharePoint activement exploitée pour des attaques RCE
Table des matières :
Cet été a été marqué par une vague de vulnérabilités critiques affectant les produits Microsoft. Une nouvelle vulnérabilité RCE dans Windows, référencée sous CVE-2025-33053, a été activement exploitée par le groupe APT Stealth Falcon. Parallèlement, une autre faille grave, nommée EchoLeak (CVE-2025-32711), a été découverte dans Microsoft Copilot, permettant une exfiltration silencieuse de données par email sans aucune interaction utilisateur.
Alors que ces vulnérabilités sont encore fraîches dans les esprits, l’attention se tourne désormais vers une autre menace à fort impact appelée ToolShell. Ce zero-day inédit (CVE-2025-53770) utilisé dans ces attaques est une variante de la vulnérabilité RCE SharePoint récemment corrigée (CVE-2025-49704) et actuellement exploitée en conditions réelles. Les attaquants l’utilisent pour déployer des portes dérobées sur des serveurs SharePoint on-premises compromis et extraire des clés de sécurité, ouvrant la voie à une compromission totale des systèmes.
Détecter les tentatives d’exploitation de CVE-2025-53770
Avec plus de 1,4 milliard d’appareils fonctionnant sous Windows et une dépendance mondiale à ses services, Microsoft demeure au cœur de l’écosystème numérique actuel. Le rapport 2025 BeyondTrust sur les vulnérabilités Microsoft a révélé un record de 1 360 vulnérabilités divulguées en 2024, soit une augmentation de 11 % par rapport au précédent sommet. Cette tendance à la hausse illustre l’élargissement de la surface d’attaque et la nécessité urgente pour les organisations de s’adapter de manière proactive à un paysage de menaces en constante évolution.
Inscrivez-vous sur la plateforme SOC Prime pour accéder à une intelligence cybernétique en temps réel et à des algorithmes de détection ciblés couvrant les tentatives d’exploitation de CVE-2025-53770. La plateforme offre également aux équipes SOC une suite complète de produits pour l’ingénierie de détection assistée par IA, la chasse automatisée aux menaces et la détection avancée.
Les défenseurs cybersécurité souhaitant plus de contenus de détection concernant l’exploitation des vulnérabilités peuvent parcourir le Threat Detection Marketplace avec le tag « CVE ».
Toutes les détections sont compatibles avec plusieurs technologies SIEM, EDR et Data Lake, et sont alignées avec le cadre MITRE ATT&CK pour faciliter les investigations sur les menaces. La plateforme SOC Prime équipe les équipes de sécurité avec du contenu de détection de haute qualité enrichi de liens CTI, de chronologies d’attaque, de configurations d’audit, de recommandations pour le triage, et bien plus encore.
Les ingénieurs sécurité peuvent également tirer parti de Uncoder AI—une IA privée, non agentique, conçue spécialement pour l’ingénierie de détection basée sur les menaces. Avec Uncoder, les défenseurs peuvent automatiquement convertir des IOC en requêtes de chasse exploitables, créer des règles de détection à partir de rapports bruts, activer la prédiction de tags ATT&CK, optimiser les requêtes grâce à l’IA, et traduire du contenu de détection sur plusieurs plateformes.
Analyse de CVE-2025-53770
Deux failles critiques zero-day dans Microsoft SharePoint, référencées sous CVE-2025-53770 et CVE-2025-53771, sont exploitées en conditions réelles depuis au moins le 18 juillet, sans correctif officiel publié à ce jour, avec plus de 85 serveurs confirmés affectés à travers le monde.
CVE-2025-53770, une vulnérabilité de sécurité hautement critique avec un score CVSS de 9.8, est considérée comme une variante de la CVE-2025-49704 précédemment corrigée, une faille d’injection de code et RCE adressée par Microsoft lors du Patch Tuesday de juillet 2025. L’activité d’exploitation nommée “ToolShell” permet aux attaquants d’obtenir un accès non authentifié aux systèmes vulnérables, offrant un contrôle total sur le contenu SharePoint, y compris le stockage de fichiers et les configurations internes, et autorisant l’exécution de code à distance sur le réseau.
CVE-2025-53770 implique la désérialisation de données non fiables dans les instances SharePoint on-premises, permettant une RCE par un attaquant non authentifié à travers le réseau. Une fois l’accès obtenu, les adversaires peuvent falsifier des payloads de confiance, permettant persistance ou mouvement latéral tout en se faisant passer pour des opérations SharePoint légitimes.
Dans le guide client, Microsoft confirme que les acteurs malveillants exploitent activement des vulnérabilités dans les systèmes SharePoint Server on-premises, partiellement atténuées dans la mise à jour de sécurité de juillet. Ces failles n’affectent que les déploiements on-premises, SharePoint Online dans Microsoft 365 restant épargné.
Pour répondre pleinement aux risques liés à ces failles, l’éditeur a publié des mises à jour de sécurité pour SharePoint Subscription Edition et SharePoint Server 2019. Il recommande vivement d’installer ces correctifs sans délai afin de protéger les environnements. Microsoft indique également qu’un correctif complet est en cours de test approfondi et sera publié dans une prochaine mise à jour.
En attendant la publication du correctif complet, l’éditeur conseille fortement d’activer l’intégration AMSI dans SharePoint et d’exécuter Microsoft Defender Antivirus sur tous les serveurs SharePoint. Si l’activation d’AMSI est impossible, les serveurs SharePoint vulnérables doivent être déconnectés d’Internet par précaution.
Le 20 juillet, la CISA a émis une alerte confirmant l’exploitation active de CVE-2025-53770. Parmi les mesures d’atténuation recommandées, la CISA invite les organisations à examiner les mises à jour de sécurité Microsoft correspondantes, surveiller les requêtes POST suspectes vers /ToolPane.aspx?DisplayMode=Edit, scanner les adresses IP telles que 107.191.58[.]76, 104.238.159[.]149, et 96.9.125[.]147, mettre à jour les règles IPS/WAF, activer la journalisation détaillée des événements, et réduire les privilèges d’affichage et d’administration.
La CISA a rapidement collaboré avec Microsoft pour coordonner la réponse et alerter les organisations sur les mesures d’atténuation essentielles. Ce cas illustre le rôle crucial de la collaboration opérationnelle entre chercheurs, fournisseurs technologiques et CISA pour permettre une identification rapide des menaces et une défense unifiée protégeant la sécurité nationale et intérieure.
La défense collective cybernétique et les efforts coordonnés entre gouvernements, fournisseurs privés et communauté de recherche en sécurité sont indispensables pour contrer les acteurs de menace modernes, permettant une détection, une réponse et une résilience plus rapides face à des attaques toujours plus sophistiquées. La plateforme SOC Prime dédiée à la défense collective cybernétique, soutenue par l’IA, l’automatisation, l’intelligence sur les menaces en temps réel, et fondée sur des principes zero-trust, aide les organisations mondiales à surpasser les cybermenaces exploitant des vulnérabilités critiques et zero-days, tout en renforçant une posture cybersécurité résiliente.
