Techonologie

Des hackers exploitent une faille dans Microsoft SharePoint malgré les correctifs

salwa

Depuis quelques jours, une vague de cyberattaques cible les serveurs SharePoint. La faille de sécurité permet aux hackers de s’infiltrer dans les systèmes des entités sans avoir besoin d’un mot de passe. Malgré les premiers correctifs diffusés, les attaques se poursuivent, affectant notamment des administrations, des universités et des entreprises sensibles à travers plusieurs pays.

Depuis le 18 juillet 2025, Microsoft fait face à une campagne d’ampleur de cyberattaques ciblant les serveurs SharePoint, sa plateforme de collaboration déployée dans de nombreuses entités du secteur public et du secteur privé. Les équipes de sécurité de l’entreprise ont identifié une vulnérabilité de type zero day, référencée sous le nom « CVE 2025 53770 ». Elle permet à un hacker de prendre le contrôle total d’un serveur exposé sur Internet, sans avoir besoin d’identifiants de connexion.

Seule la version on-premise conernée

A noter que cette vulnérabilité ne concerne que les versions installées localement, et non les versions cloud telles que SharePoint Online. De plus, les systèmes affectés concernent les éditions SharePoint 2016, SharePoint 2019 et SharePoint Subscription Edition. Les mises à jour de sécurité pour SharePoint Enterprise Server 2016 sont indisponibles pour l’instant.

Cette faille de sécurité est particulièrement dangereuse puisqu’elle est capable de contourner les mesures de protection habituelles. En effet, une fois le serveur compromis, les hackers peuvent installer un fichier malveillant, appelé « spinstall0.aspx », qui leur permet d’extraire des clés cryptographiques internes. Ces clés sont utilisées pour signer les échanges entre le serveur et ses utilisateurs. En les récupérant, les attaquants peuvent fabriquer de fausses sessions parfaitement valides et ainsi se reconnecter au serveur même après l’application d’un correctif de sécurité.

Des dizaines de serveurs déjà compromis

Selon plusieurs sources, dont Reuters et The Washington Post, des dizaines de serveurs ont été compromis. Parmi les victimes figurent des agences gouvernementales, des universités, des entreprises du secteur de l’énergie et des opérateurs de télécommunications. Des adresses IP liées aux attaques ont été identifiées, ainsi que des comportements suspects dans les journaux d’activité des serveurs, notamment des connexions anormales ou l’exécution de commandes PowerShell depuis le processus serveur principal.

Les autorités américaines ont rapidement réagi. La Cybersecurity and Infrastructure Security Agency (CISA) a demandé à toutes les agences fédérales concernées d’installer un correctif ou de déconnecter les serveurs concernés du réseau avant le 21 juillet. Les centres de cybersécurité français, espagnol et canadien ont également lancé l’alerte.

De son côté, Microsoft recommande à toutes les organisations utilisant SharePoint Server de réagir immédiatement. À défaut, elles s’exposent à des intrusions durables, à des vols de données sensibles ou à des compromissions en chaîne via d’autres services connectés, tels que Teams et Outlook.

Source : usine-digitale.fr

Vous pourrez aussi aimer

Les bons arguments des écouteurs Oppo Enco X2 face à leurs concurrents

salwa

Des satellites en orbite basse capables de surveiller nos vies en détail dès 2025 ?

salwa

Londres donne un feu vert «provisoire» à la mégafusion Broadcom-VMware

salwa