Multiples vulnérabilités critiques dans Microsoft SharePoint - Exploitations actives

> Alerte CERT-FR CERTFR-2025-ALE-010 — Vulnérabilités critiques avec exploitations actives — Mise à jour immédiate requise

Le 19 juillet 2025, Microsoft a publié des correctifs pour des vulnérabilités critiques de type jour-zéro affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. Microsoft indique que la vulnérabilité CVE-2025-53770 est activement exploitée.

Résumé exécutif

• CVE : CVE-2025-53770, CVE-2025-53771
• Gravité : Critique (RCE)
• Type : Désérialisation non sécurisée + Path traversal
• Authentification requise : Non (CVE-2025-53770)
• Complexité d'exploitation : Faible
• Statut : Exploitation active confirmée (CVE-2025-53770)
• Date de publication : 19-20 juillet 2025
• Dernière mise à jour CERT-FR : 26 août 2025

Vulnérabilités identifiées

CVE-2025-53770 - Désérialisation non sécurisée (Exploitation active)

Date de publication : 19 juillet 2025

Cette vulnérabilité de type jour-zéro permet à un attaquant de provoquer une désérialisation de données non fiables entraînant une exécution de code arbitraire à distance.

Impact :

• Exécution de code arbitraire sur le serveur SharePoint
• Prise de contrôle complète du système
• Accès aux données sensibles hébergées sur SharePoint
• Utilisation comme point d'entrée pour des attaques latérales

Statut : Activement exploitée selon Microsoft.

CVE-2025-53771 - Path traversal (Usurpation d'identité)

Date de publication : 20 juillet 2025

Cette vulnérabilité de type limitation insuffisante d'un chemin d'accès à un répertoire restreint (path traversal) permet à un attaquant de provoquer une usurpation d'identité sur un réseau.

Impact :

• Contournement des restrictions d'accès
• Accès non autorisé à des ressources protégées
• Usurpation d'identité d'utilisateurs légitimes

Systèmes affectés

Versions affectées

• SharePoint Enterprise Server 2016 < 16.0.5513.1001
• SharePoint Server 2019 < 16.0.10417.20037
• SharePoint Server Subscription Edition < 16.0.18526.20508

Versions non corrigées

SharePoint Enterprise Server 2010 et SharePoint Enterprise Server 2013 ne recevront pas de correctifs de sécurité. Le CERT-FR recommande aux utilisateurs de migrer vers un produit disposant de mises à jour.

Chronologie des événements

• 19 juillet 2025 : Publication du correctif pour CVE-2025-53770
• 20 juillet 2025 : Publication du correctif pour CVE-2025-53771
• 21 juillet 2025 : Publication initiale de l'alerte CERT-FR
• 22 juillet 2025 : Mises à jour de sécurité pour SharePoint 2016 et marqueurs de compromission disponibles
• 23 juillet 2025 : Ajout d'informations sur les produits obsolètes et recherche de compromission
• 26 août 2025 : Clôture de l'alerte CERT-FR (mais la menace persiste sans correctif)

Solutions et correctifs

Mise à jour immédiate requise

Le CERT-FR recommande les actions suivantes :

Si l'instance SharePoint est dans une version disposant d'un correctif :

1. ✅ Appliquer les dernières mises à jour de sécurité, y compris la mise à jour de sécurité de juillet 2025

2. ✅ Effectuer une rotation des clés de machine ASP.NET du SharePoint Server

3. ✅ Redémarrer IIS sur tous les serveurs SharePoint

Si aucune mise à jour n'est disponible :

• Déconnecter ou filtrer les accès à cette instance

Versions minimales sécurisées

• SharePoint Enterprise Server 2016 : >= 16.0.5513.1001
• SharePoint Server 2019 : >= 16.0.10417.20037
• SharePoint Server Subscription Edition : >= 16.0.18526.20508

Rotation des clés ASP.NET

Microsoft recommande d'effectuer une rotation des clés de machine ASP.NET après l'application des correctifs :

• Amélioration de la sécurité de l'état de ASP.NET et de la gestion des clés

Protection Microsoft Defender

L'éditeur fournit des moyens de détection et de protection pour Microsoft Defender Antivirus :

• Conseils aux clients pour la vulnérabilité SharePoint CVE-2025-53770

Recherche de compromission

Caractéristiques des requêtes HTTP malveillantes

Dès que le correctif est appliqué ou l'instance SharePoint isolée, rechercher dans les journaux réseau IIS SharePoint (période du 7 juillet 2025 jusqu'à la date d'application des correctifs) :

| Caractéristique HTTP | Valeur(s) à rechercher |

|---------------------|------------------------|

| Méthode HTTP | POST |

| URL | /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx<br>/_layouts/16/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx |

| Referer | /_layouts/SignOut.aspx<br>https://<cible>/_layouts/SignOut.aspx<br>http://<cible>/_layouts/SignOut.aspx |

<cible> étant le nom de domaine de votre SharePoint.

Recherche de processus inhabituels

Si des journaux système sont disponibles, rechercher des processus inhabituels générés par le processus IIS w3wp.exe tels que :

• powershell.exe
• cmd.exe

Actions en cas de compromission détectée

1. Isoler le système du réseau

2. Préserver les preuves (logs, fichiers système)

3. Qualifier la compromission (voir CERTFR-2024-RFX-005)

4. Endiguer l'incident (voir CERTFR-2024-RFX-006)

5. Signaler l'événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier

Détermination de l'impact

Le CERT-FR recommande de déterminer si l'instance SharePoint n'héberge pas des secrets d'administration du système d'information.

Impact sur les PME

Pourquoi ces vulnérabilités sont critiques

1. Exposition Internet directe

• Les instances SharePoint sont souvent exposées sur Internet
• Elles hébergent des données sensibles d'entreprise
• Une compromission permet un accès privilégié aux données et au réseau

2. Exploitation active confirmée

• CVE-2025-53770 est activement exploitée selon Microsoft
• Des codes d'exploitation sont probablement disponibles
• Le risque d'exploitation en masse est élevé

3. Complexité de la mise à jour

• Les mises à jour SharePoint nécessitent souvent une fenêtre de maintenance
• Peuvent nécessiter des tests approfondis en environnement de staging
• Risque de coupure de service pendant la mise à jour

4. Versions obsolètes

• SharePoint 2010 et 2013 ne recevront pas de correctifs
• Nécessite une migration complète vers une version supportée

Actions recommandées pour les PME

Immédiat (0-24h) :

1. ✅ Vérifier les versions de vos instances SharePoint

2. ✅ Identifier les instances exposées sur Internet

3. ✅ Effectuer la recherche de compromission dans les logs IIS

4. ✅ Si compromission détectée : isoler et contacter le CERT-FR

5. ✅ Si pas de compromission : planifier la mise à jour en urgence

Court terme (1-7 jours) :

1. ✅ Mettre à jour toutes les instances vers les versions sécurisées

2. ✅ Effectuer la rotation des clés ASP.NET

3. ✅ Redémarrer IIS sur tous les serveurs SharePoint

4. ✅ Auditer les logs pour détecter des tentatives d'exploitation

5. ✅ Vérifier l'intégrité de tous les systèmes

Moyen terme (1-4 semaines) :

1. ✅ Pour SharePoint 2010/2013 : planifier la migration

2. ✅ Mettre en place un processus de veille sécurité

3. ✅ Automatiser les mises à jour de sécurité

4. ✅ Renforcer le monitoring et la détection

5. ✅ Planifier des audits de sécurité réguliers

Bonnes pratiques de sécurité

Gestion des instances SharePoint

1. Veille sécurité active

• S'abonner aux alertes CERT-FR
• Suivre les avis de sécurité Microsoft (MSRC)
• Utiliser des outils de veille sécurité

2. Monitoring et logging

• Activer les logs détaillés IIS sur tous les serveurs SharePoint
• Centraliser les logs sur un système de gestion des logs (SIEM)
• Monitorer les événements de sécurité en temps réel
• Surveiller les processus générés par w3wp.exe

3. Configuration sécurisée

• Limiter l'accès aux interfaces d'administration
• Utiliser l'authentification à deux facteurs (2FA)
• Appliquer le principe du moindre privilège
• Désactiver les fonctionnalités non nécessaires

Gestion du cycle de vie

1. Inventaire

• Maintenir un inventaire à jour des instances SharePoint
• Suivre les cycles de vie des produits
• Identifier les versions obsolètes nécessitant une migration

2. Planification des migrations

• Planifier les migrations des versions obsolètes (2010, 2013)
• Tester les migrations en environnement de staging
• Documenter les procédures de migration

3. Procédures de mise à jour

• Planifier les fenêtres de maintenance
• Tester les mises à jour en environnement de staging
• Valider les fonctionnalités critiques après mise à jour
• Effectuer la rotation des clés ASP.NET après mise à jour

Références et documentation

Avis officiels

• Bulletin de sécurité Microsoft CVE-2025-53770 du 19 juillet 2025
• Bulletin de sécurité Microsoft CVE-2025-53771 du 20 juillet 2025
• Conseils aux clients pour la vulnérabilité SharePoint CVE-2025-53770
• Prévention de l'exploitation active des vulnérabilités de SharePoint
• Alerte CERT-FR CERTFR-2025-ALE-010
• Avis CERT-FR CERTFR-2025-AVI-0611 du 21 juillet 2025

Guides de réponse aux incidents

• Compromission système - Qualification (CERTFR-2024-RFX-005)
• Compromission système - Endiguement (CERTFR-2024-RFX-006)

Documentation technique

• Amélioration de la sécurité de l'état de ASP.NET et de la gestion des clés
• Description de la mise à jour de sécurité pour SharePoint Enterprise Server 2016 : 8 juillet 2025 (KB5002744)
• Description de la mise à jour de sécurité pour SharePoint Server 2019 : 8 juillet 2025 (KB5002741)

Références CVE

• CVE-2025-53770
• CVE-2025-53771

Conclusion

Les vulnérabilités CVE-2025-53770 et CVE-2025-53771 dans Microsoft SharePoint sont des failles de sécurité critiques avec une exploitation active confirmée pour CVE-2025-53770. Toutes les instances affectées doivent être mises à jour immédiatement vers les versions sécurisées.

Points clés à retenir :

• ✅ CVE-2025-53770 activement exploitée selon Microsoft
• ✅ Recherche de compromission à effectuer dans les logs IIS
• ✅ Rotation des clés ASP.NET obligatoire après mise à jour
• ✅ Versions obsolètes (2010, 2013) nécessitent une migration
• ✅ Redémarrage IIS requis après mise à jour

Action immédiate :

Vérifiez vos instances SharePoint, effectuez la recherche de compromission dans les logs, et mettez à jour sans délai vers les versions sécurisées. N'oubliez pas d'effectuer la rotation des clés ASP.NET et de redémarrer IIS.

Besoin d'aide pour sécuriser votre infrastructure SharePoint ? Découvrez notre service de **pentest web** pour identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées.