Contexte
Le 18 juillet 2025, les chercheurs en sécurité de l’entreprise néerlandaise Eye Security identifient l’exploitation de la CVE-2025-53770 (zero day) ciblant des serveurs Sharepoint. Jointe à la CVE-2025-53771, ces vulnérabilités forment deux variantes de la chaîne d’attaque baptisée ToolShell et composée des CVE-2025-49706 et CVE-2025-49704 corrigées en juillet 2025. Une preuve de concept avait été publiée trois jours plus tôt concernant ces deux dernières, par des chercheurs de la société Code White Gmbh.
A date, seule la CVE-2025-53770 est confirmée exploitée par Microsoft, et plus de 9300 serveurs dans le
monde seraient vulnérables. Des indicateurs de compromission sont disponibles.
CVE-2025-53770
Une désérialisation non sécurisée des données dans les serveurs Microsoft SharePoint permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de déposer des portes dérobées sur le serveur afin d’exécuter du code arbitraire.
- Score CVSS : 9.8
- EPSS : 0,27%
- POC : NON
- Type de vulnérabilité : CWE-502: Deserialization of Untrusted Data
- Risque : Exécution de code arbitraire
Recommandations
- Mettre à jour Microsoft SharePoint Server Subscription Edition vers la version build 16.0.18526.20508.
- Mettre à jour Microsoft SharePoint Server 2019 vers la version build 16.0.10417.20037.
En attendant un correctif pour SharePoint Server 2016, l’éditeur recommande également de :
→ Activer l’intégration de l’ Antimalware Scan Interface (AMSI) en mode complet,
→ Déployer Defender Antivirus sur les serveurs,
→ S’il n’est pas possible d’appliquer les correctifs, déconnecter les serveurs SharePoint vulnérables du réseau.
Des informations complémentaires sont disponibles dans le bulletin de Microsoft.
