AccueilAlerts & Advisories

Vulnérabilité 0Day dans SharePoint en cours d'exploitation active (CVE-2025-53770)

Résumé

Mise à jour du 21 juillet 2025 à 22:48 UTC : Microsoft a publié un correctif pour SharePoint 2016. Des correctifs sont désormais disponibles pour toutes les versions prises en charge de SharePoint Server. Nous avons mis à jour notre avis en conséquence.

Mise à jour du 21 juillet 2025 à 13:28 UTC : Beazley Security est conscient que plusieurs exploits fonctionnels pour cette chaîne d'exploits/vulnérabilité sont est maintenant partagé publiquement. Bien que l'exploitation observée au cours du week-end semblait cibler des secteurs spécifiques, nous pensons que les groupes de rançongiciels et autres acteurs de la menace sont susceptibles de commencer à utiliser cette vulnérabilité comme une arme de manière plus générale (probablement d'ici quelques heures ou quelques jours).

Les organisations dont les serveurs SharePoint locaux sont exposés à Internet et qui ne sont pas corrigés doivent partir du principe d'un compromis. Beazley Security conseille aux organisations de prendre les mesures immédiates suivantes :

  • Isolation des systèmes concernés
  • Restauration à partir d'une sauvegarde dont l'état de fonctionnement a été établi avant le 18 juillet
  • Application des derniers correctifs pour SharePoint Subscriber Edition ou SharePoint 2019 (le correctif pour SharePoint 2016 est en attente)
  • Faites pivoter les clés cryptographiques pour View State Security en procédant comme suit Aplet de commande PowerShell

Veuillez noter que les organisations doivent examiner les dates supplémentaires afin de déterminer si les acteurs de la menace ont tenté de quitter le serveur SharePoint ou d'exfiltrer des documents hébergés sur les sites SharePoint concernés.

Mise à jour du 21 juillet 2025 à 03:05 UTC : Microsoft a fourni des correctifs pour SharePoint 2019. Nous avons mis à jour notre avis pour en tenir compte. À l'heure actuelle, nous attendons toujours les correctifs pour SharePoint 2016.

Mise à jour du 21 juillet 2025 à 00:56 UTC: Microsoft a fourni des conseils actualisés contenant des informations sur les versions exactes vulnérables à ToolShell. En outre, Microsoft a mis à disposition des mises à jour pour SharePoint Subscription Edition et travaille à la mise à jour de SharePoint 2019 et SharePoint 2016.

Le 18 juilletth, la communauté de la sécurité a été informée de l'exploitation active d'une vulnérabilité d'exécution de code à distance (RCE) de type « Toolshell », de type « jour zéro », affectant les serveurs Microsoft SharePoint locaux. Le 19 juilletth, Microsoft a attribué la vulnérabilité CVE-2025-53770 et a reconnu une exploitation active. Cette vulnérabilité et la chaîne d'exploits actuellement déployée permettent aux attaquants de télécharger des charges utiles ASP.NET malveillantes sur des serveurs SharePoint. Les tentatives d'exploitation actuelles exploitent une charge utile malveillante bien conçue pour extraire les clés cryptographiques des serveurs SharePoint et exploiter ces clés pour exécuter du code à distance sans contrainte sur les systèmes concernés.

Cette vulnérabilité de type « jour zéro » fait l'objet d'une exploitation active et, à la date de cet avis, Microsoft a pas encore patchs publiés. Compte tenu de l'utilisation généralisée de SharePoint dans les environnements d'entreprise et de la disponibilité du code d'exploitation, Beazley Security recommande vivement de mettre en œuvre immédiatement les mesures d'atténuation détaillées dans ce document. Si possible, Beazley Security a également recommande vivement que les organisations déconnectent temporairement les serveurs SharePoint d'Internet jusqu'à ce qu'un correctif officiel soit disponible.

Beazley Security MDR surveille de manière proactive les activités d'exploitation potentielles et mène une recherche continue des menaces à l'aide d'indicateurs de compromission publics et privés.

Systèmes ou produits concernés

Mise à jour du 21 juillet 2025 à 22:48 UTC : Microsoft a mis à disposition des mises à jour pour toutes les versions de SharePoint Server. Consultez les liens de la base de connaissances figurant dans le tableau ci-dessous pour votre version spécifique de SharePoint Server.

Software

Affected Versions

Fixed Versions
SharePoint Server Subscription Edition <= 16.0.18526.20424

KB5002768
SharePoint Server 2019

<= 16.0.10417.20027

KB5002754
SharePoint Server 2016 SharePoint Server 2016 MUI/language patch

<= 16.0.5508.1000

KB5002760

Remarque : SharePoint Online dans Microsoft 365 est PAS touché.

Atténuations et solutions de contournement

Selon la réponse officielle de Microsoft, il est conseillé de configurer l'interface de scan antimalware Windows (AMSI) pour s'assurer que les fichiers chargés sur SharePoint sont analysés par les moteurs antivirus installés sur ces serveurs SharePoint. Les instructions pour activer et configurer l'AMSI sont disponibles dans Documentation de Microsoft.

Cependant, rien ne garantit que l'analyse antimalware détectera toutes les futures charges utiles malveillantes et, par conséquent, Les organisations dont les serveurs SharePoint locaux sont exposés à Internet et qui ne sont pas corrigés doivent partir du principe d'un compromis. Beazley Security conseille aux organisations de prendre les mesures immédiates suivantes :

  • Isolez les systèmes concernés
  • Restauration à partir d'une sauvegarde dont l'état de fonctionnement a été reconnu avant le 18 juillet
  • Appliquez les derniers correctifs pour SharePoint Subscriber Edition ou SharePoint 2019 (le correctif pour SharePoint 2016 est en attente)
  • Faites pivoter les clés cryptographiques pour _VIEWSTATES en procédant comme suit Aplet de commande PowerShell

Patchs

Au 21 juillet 2025, Microsoft a mis à jour toutes les versions concernées de SharePoint disponibles.

Indicateurs de compromis

Beazley Security a connaissance de plusieurs hôtes qui analysent activement les serveurs SharePoint vulnérables et tentent d'exploiter ces derniers. Selon eye.security, qui a initialement écrit sur cette activité d'exploitation active et en a informé Microsoft, plusieurs adresses IP d'acteurs exploitant cet exploit ont été observées dans la nature depuis le 18 juilletth y compris :

  • 107,1191,58 [.] 76
  • 104,238,159 [.] 149
  • 96,9,125 [.] 147
  • 103,186,30 [.] 186

De plus, l'accès initial via cette chaîne d'exploits nécessite une requête POST pour /_layouts/15/ToolPane.aspx ? DisplayMode=Edit&A=/ToolPane.aspx ainsi que les demandes avec un référent de Référent : _layouts/SignOut.aspx L'exécution de code à distance est déclenchée par une requête GET pour /_layouts/15/spinstall0.aspx Les compromissions de SharePoint signalées précédemment incluent l'exécution d'une charge utile ASP.NET spécialement conçue avec un nom de fichier de spinstall0.aspx. Avec un hash sha256 de 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 initialement déployé sur le chemin suivant sur les serveurs SharePoint compromis : C:\Program Files \ Fichiers communs \ Microsoft Shared \ Web Server Extensions \ 16 \ TEMPLATE \ LAYOUTS \ spinstall0.aspx.

De plus, Palo Alto's L'unité 42 a partagé les SHA suivants:

  • 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030 <-- hash initial observé par l'unité 42 de Paloalto
  • b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
  • fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7 <-- ciblage de l'état de la vue

Détails techniques

Le CVE-2025-53770, appelé « ToolShell », est une chaîne d'exploit d'exécution de code à distance (RCE) zero-day affectant les serveurs Microsoft SharePoint locaux. La vulnérabilité a été observée pour la première fois lors d'une exploitation active le 18 juillet 2025 et combine deux vulnérabilités précédemment démontrées (CVE-2025-49706 et CVE-2025-49704) dans une chaîne d'exploits militarisée qui permet à des attaquants non authentifiés d'exécuter du code à distance sur les serveurs SharePoint concernés.

L'attaque commence par une requête POST adressée au point de terminaison SharePoint suivant :

/_layouts/15/ToolPane.aspx

À l'aide d'un en-tête Referer conçu (/_layouts/SignOut.aspx) pour contourner l'authentification. Cela permet à l'attaquant de télécharger un fichier .aspx malveillant (tel qu'un Webshell) sur le serveur SharePoint sans informations d'identification valides.

Dans la chaîne d'exploits actuellement observée, les acteurs de la menace sont pas téléchargement d'un webshell traditionnel. Beazley Security a connaissance d'une charge utile ASP.NET malveillante nommée spinstall0.aspx en cours de déploiement actif. La charge utile actuelle (surnommée SharpyShell) est une charge utile ASP.NET furtive conçue pour extraire les secrets cryptographiques des serveurs SharePoint compromis, y compris Clé de validation et Clé de déchiffrement à partir de la configuration MachineKey de SharePoint déployée. Ces secrets sont essentiels pour la signature et la validation __AFFICHER L'ÉTAT charges utiles dans SharePoint.

Une fois que l'attaquant a obtenu ces clés cryptographiques, il peut créer des charges utiles __VIEWSTATE signées arbitrairement à l'aide d'outils tels que ysoserial. Ces charges utiles, qui sont désormais signées avec des clés cryptographiques valides extraites du serveur, sont acceptées par le serveur en tant qu'entrée sécurisée, permettant l'exécution complète de code à distance sans authentification.

Comment Beazley Security réagit

L'offre MXDR de Beazley Security propose plusieurs détections permettant de détecter l'exploitation potentielle de cette chaîne d'exploits ciblant SharePoint, notamment (mais sans s'y limiter) :

  • Utilisation abusive du processus de travail Microsoft IIS (W3WP.exe)
  • Tentatives de téléchargement ou d'exécution de webshells
  • Exécution de commandes suspectes codées en base64
  • Les fichiers chargés sur SharePoint ont été détectés comme étant des logiciels malveillants

Pour les clients EDR gérés par Beazley Security, Beazley Security continuera à surveiller les activités suspectes et à travailler avec ses partenaires fournisseurs pour confirmer la détection.

Beazley Security a également ajouté les IOC signalés aux listes de renseignements sur les menaces qui déclencheront des alertes spécifiques lors des tentatives de téléchargement de la charge utile ASP.NET précédemment vue, baptisée SharpyShell.

Beazley Security MDR a activement recherché les menaces pour détecter d'éventuelles activités d'exploitation en utilisant à la fois les IoC répertoriés dans ce document et plusieurs IoC TLP Amber/TLP Red privés qui ne peuvent pas encore être largement partagés.

Beazley Security a informé tous les produits de gestion des expositions de ses clients lorsque nous avons découvert des serveurs SharePoint locaux exposés à Internet.

Sources

Download PDF

Aware of an incident impacting your industry? Let us know:

Report an incident