SharePoint victime d'une faille critique majeure

Microsoft SharePoint fait face à l'une des vulnérabilités les plus graves de son histoire. Deux failles zero-day exploitées depuis juillet 2025 ont compromis plus de 85 serveurs à travers le monde, touchant des secteurs stratégiques comme l'énergie, la santé et les institutions gouvernementales.

Une attaque sophistiquée

La faille baptisée "ToolShell" exploite une chaîne de vulnérabilités qui contourne intelligemment les mécanismes d'authentification de SharePoint. L'attaque débute par une requête HTTP spécialement forgée vers l'endpoint /_layouts/15/ToolPane.aspx, accompagnée d'un en-tête Referer falsifié pointant vers /SignOut.aspx.

Cette manipulation trompe SharePoint qui traite la requête comme légitime, ouvrant la porte aux attaquants. Une fois l'accès obtenu, ils déploient un fichier ASPX malveillant qui extrait les clés cryptographiques du serveur : ValidationKey et DecryptionKey. Ces clés, normalement utilisées pour sécuriser le mécanisme ViewState d'ASP.NET, deviennent entre de mauvaises mains des outils de forge de tokens d'authentification valides.

L'exploitation de ce mécanisme ViewState n'est pas inédite. Microsoft avait déjà observé en février 2025 l'utilisation malveillante de plus de 3 000 clés ASP.NET publiquement exposées pour des attaques similaires. Le processus s'apparente à un vol de passe-partout : une fois les clés secrètes obtenues, les cybercriminels génèrent leurs propres payloads signés et chiffrés, reconnus comme légitimes par SharePoint.

Un impact international aux conséquences majeures

L'analyse des serveurs compromis révèle une campagne d'envergure touchant 85 serveurs répartis dans 54 organisations. Eye Security, la société néerlandaise qui a découvert l'exploitation active, a identifié des victimes parmi les universités californiennes, des opérateurs énergétiques, des institutions de santé fédérales et des entreprises de fintech.

La vulnérabilité CVE-2025-53770, notée 9,8 sur 10 selon l'échelle CVSS, ne concerne que les installations SharePoint on-premise (versions 2016, 2019 et Subscription Edition). SharePoint Online, hébergé dans Microsoft 365, demeure épargné par cette faille, illustrant l'un des avantages sécuritaires du cloud managé.

Cette distinction souligne le défi permanent des organisations qui maintiennent des infrastructures on-premise : elles conservent un contrôle total sur leurs données et configurations, mais assument également l'entière responsabilité de la sécurité et de la maintenance.

Microsoft a réagi rapidement en publiant des correctifs d'urgence pour les versions Subscription Edition et 2019, tout en travaillant sur une solution pour SharePoint 2016. Les recommandations incluent l'activation de l'interface AMSI (Antimalware Scan Interface), la rotation des clés machine ASP.NET, et le déploiement de Microsoft Defender for Endpoint. Pour les organisations incapables d'appliquer immédiatement ces mesures, Microsoft préconise la déconnexion temporaire des serveurs SharePoint d'Internet.