Microsoft a diffusé une alerte d’urgence à destination de ses clients concernant la faille de sécurité identifiée sous le nom CVE-2025-53770, actuellement exploitée de manière active sur les instances on-premises de Microsoft SharePoint.

Les équipes du Google Threat Intelligence Group ont détecté plusieurs attaques en cours ciblant cette vulnérabilité, qui n’a, à ce jour, pas encore fait l’objet d’un correctif officiel. Selon les analyses menées, les attaquants déploient des webshells sur les serveurs compromis, accédant ensuite à des données cryptographiques sensibles stockées sur ces mêmes infrastructures. Ce mode opératoire confère aux cybercriminels un accès persistant et non authentifié, complexifiant considérablement la détection de la compromission.

« Les intrusions observées montrent que les acteurs malveillants visent spécifiquement l’implantation de webshells et l’exfiltration de secrets cryptographiques critiques », souligne l’un des rapports techniques issus des investigations menées par Google Threat Intelligence Group.

Face à la gravité de la menace, Microsoft a publié des mesures d’atténuation immédiates et recommande de les appliquer en urgence, notamment pour les organisations dont les serveurs SharePoint on-premises sont exposés à Internet. Les versions cloud de la plateforme, à savoir SharePoint Online au sein de Microsoft 365, ne sont pas concernées par cette vulnérabilité.

Les premiers éléments techniques publiés indiquent que la faille CVE-2025-53770 permet une prise de contrôle à distance d’un serveur SharePoint vulnérable, sans nécessité d’authentification préalable. Cette caractéristique facilite la propagation de l’attaque et son exploitation à grande échelle. Selon les recommandations des experts, il est impératif de partir du principe qu’un serveur exposé a potentiellement déjà été compromis, et d’engager sans délai des actions de vérification et de remédiation.

« Il ne s’agit pas simplement d’appliquer le correctif et de passer à autre chose. Les organisations doivent immédiatement déployer des mesures d’atténuation, rechercher activement des signes d’intrusion, et prévoir des actions de remédiation approfondies », précise Charles Carmakal, Chief Technology Officer de Mandiant Consulting, rattaché à Google Cloud.

Au moment de la publication de l’alerte, Microsoft n’a pas encore diffusé de correctif officiel pour la vulnérabilité CVE-2025-53770, mais recommande l’application de filtres et de restrictions réseau spécifiques pour limiter l’exposition des serveurs. Les recommandations actuelles incluent la désactivation de l’accès public à SharePoint on-premises, le durcissement des contrôles d’accès, et la surveillance des journaux d’activité afin de détecter toute activité anormale.

« Les attaques en cours démontrent la capacité des cybercriminels à adapter rapidement leurs techniques et à contourner les protections existantes », indique un rapport de Microsoft, insistant sur la nécessité d’une vigilance accrue.

L’analyse des compromissions déjà constatées révèle l’utilisation de webshells personnalisés, facilitant l’exfiltration de fichiers chiffrés, de certificats, de clés privées et d’autres secrets indispensables au fonctionnement sécurisé des environnements Microsoft SharePoint. Ce mode opératoire complique la détection des attaques, les fichiers malveillants étant fréquemment dissimulés au sein de répertoires légitimes ou sous des noms anodins.

La chronologie de la campagne d’attaque montre une accélération notable des tentatives d’exploitation depuis la fin de la semaine dernière, les attaquants adaptant leurs charges utiles en temps réel pour contourner les premières mesures d’atténuation publiées par Microsoft et ses partenaires. Plusieurs entreprises et administrations internationales ont d’ores et déjà signalé des tentatives d’accès non autorisées, ainsi que des traces de manipulation de fichiers critiques sur leurs infrastructures SharePoint.

« L’exploitation massive et continue de cette faille justifie la publication rapide d’un correctif d’urgence hors cycle de publication habituel », estime Charles Carmakal.

Par ailleurs, Microsoft rappelle que la vulnérabilité CVE-2025-53770 ne concerne pas les instances de SharePoint Online intégrées à Microsoft 365. Seules les versions hébergées localement (on-premises) sont impactées par la faille, ce qui restreint la surface d’attaque, mais impose une réactivité maximale aux administrateurs de ces environnements.

Les experts en sécurité recommandent également de vérifier l’intégrité des fichiers et des processus système sur les serveurs potentiellement exposés, d’analyser la présence de webshells, ainsi que de surveiller les flux réseau sortants inhabituels, signes possibles d’une exfiltration de données. Des outils spécialisés permettent de détecter certaines signatures spécifiques aux webshells utilisés dans le cadre de cette campagne, mais la diversité des implants observés nécessite une vigilance constante et des analyses approfondies.

« Les webshells implantés confèrent un accès persistant aux serveurs compromis, ouvrant la voie à des campagnes d’exfiltration de longue durée », rappelle un rapport technique relayé par les équipes de Google Threat Intelligence Group.

En complément des mesures techniques, plusieurs recommandations organisationnelles ont été formulées, telles que l’isolement temporaire des serveurs suspects, la rotation des clés et certificats potentiellement exposés, ainsi que la notification des utilisateurs concernés en cas de compromission avérée.

La collaboration entre Microsoft, Google Threat Intelligence Group et d’autres partenaires du secteur vise à accélérer le développement et la diffusion du correctif, mais aussi à sensibiliser les responsables informatiques aux risques encourus et à la nécessité d’une veille permanente face à l’évolution des menaces.

« L’exploitation de CVE-2025-53770 permet un accès non authentifié à des données cryptographiques sensibles, représentant un risque majeur pour la sécurité des organisations visées », souligne un communiqué officiel de Microsoft, publié ce week-end.

La campagne en cours met en lumière l’importance des processus de gestion de crise et d’analyse post-compromission, afin de limiter l’impact des attaques et de restaurer la confiance dans les systèmes d’information affectés. Les organismes ayant identifié des traces de compromission sont invités à contacter les équipes de réponse à incident et à procéder à un audit complet de leurs infrastructures SharePoint.

Les principales institutions de cybersécurité, dont l’Agence nationale de la sécurité des systèmes d’information, relaient les alertes et rappellent l’importance de n’exposer aucun service critique directement sur Internet, notamment lorsque des vulnérabilités non corrigées sont signalées.

La publication prochaine d’un correctif d’urgence est attendue par l’ensemble de la communauté, qui reste mobilisée pour limiter la diffusion de l’attaque et réduire le risque d’exfiltration de données. Les administrateurs sont invités à consulter régulièrement les bulletins de sécurité de Microsoft et à se tenir prêts à appliquer immédiatement toute mise à jour publiée.

« Les acteurs malveillants adaptent constamment leurs techniques pour exploiter de nouvelles failles dès leur divulgation », rappellent les spécialistes, insistant sur la nécessité d’une adaptation permanente des stratégies de défense.

Pour l’heure, aucune estimation précise du nombre de serveurs compromis n’a été officiellement communiquée, mais les observations recueillies montrent que la campagne vise en priorité des organisations détenant des informations cryptographiques à haute valeur ajoutée, telles que des certificats SSL/TLS, des jetons d’authentification et des clés de signature électronique.

L’alerte de ce week-end marque une étape supplémentaire dans la multiplication des attaques ciblant les environnements collaboratifs d’entreprise, mettant en évidence l’intérêt croissant des cybercriminels pour les serveurs SharePoint on-premises et les données sensibles qu’ils hébergent.