Résumé exécutif

Le 19 juillet 2025, Microsoft a publié un avis d'urgence pour la CVE-2025-53770, une vulnérabilité critique d'exécution de code à distance affectant les serveurs SharePoint sur site. Avec un score CVSS de 9,8 et une exploitation zero-day active déjà en cours, cette vulnérabilité représente l'un des incidents de sécurité SharePoint les plus graves de mémoire récente.

La vulnérabilité provient d'une désérialisation incorrecte de données non fiables dans le point de terminaison ToolPane.aspx. Combinée au contournement d'authentification dans la CVE-2025-53771, les attaquants peuvent réaliser une exécution de code à distance non authentifiée — le pire scénario pour toute application d'entreprise. Dans les 72 heures suivant la disponibilité publique d'une preuve de concept, des campagnes d'exploitation de masse ont commencé à cibler des organisations dans le monde entier.

Ce qui rend la CVE-2025-53770 particulièrement dangereuse, c'est son impact post-exploitation. Les attaquants n'exécutent pas seulement du code ; ils extraient la configuration cryptographique MachineKey du serveur, permettant un accès persistant qui survit à l'application de correctifs. Les organisations doivent non seulement appliquer les correctifs, mais aussi faire pivoter les clés cryptographiques et mener des évaluations approfondies de compromission.

Conclusions clés

9,8
Score CVSS

Évaluation de sévérité critique

72 h
PoC à exploitation

Délai entre divulgation et attaques de masse

300 K
Tentatives d'attaque

Tentatives quotidiennes maximales observées

100 K$
Prix Pwn2Own

Récompense initiale de découverte

Systèmes affectés et correctifs

La CVE-2025-53770 affecte toutes les installations SharePoint Server sur site. SharePoint Online dans Microsoft 365 n'est pas impacté. Microsoft a publié des correctifs traitant la vulnérabilité — les organisations doivent les appliquer immédiatement.

ProduitBuild corrigéArticle KBStatut
SharePoint Server Subscription Edition16.0.18526.20508KB5002768Correctif disponible
SharePoint Server 201916.0.10417.20037KB5002754Correctif disponible
SharePoint Enterprise Server 201616.0.5513.1001KB5002760Correctif disponible
SharePoint Online (Microsoft 365)N/AN/ANon affecté

Chaîne d'attaque ToolShell

1

Contournement d'authentification (CVE-2025-53771)

Les attaquants envoient des requêtes POST à /_layouts/15/ToolPane.aspx avec un en-tête Referer manipulé pointant vers /_layouts/SignOut.aspx. Cela trompe SharePoint pour qu'il traite la requête comme fiable, contournant entièrement les vérifications d'authentification.

2

Exécution de code à distance (CVE-2025-53770)

Avec l'authentification contournée, les attaquants soumettent des charges utiles sérialisées malveillantes dans le corps de la requête POST. Le processus de désérialisation vulnérable exécute les commandes PowerShell embarquées côté serveur, réalisant une exécution de code arbitraire.

3

Persistance via vol de clés

Les attaquants déploient un web shell (spinstall0.aspx) et extraient les ValidationKey et DecryptionKey du serveur depuis la configuration MachineKey. Ces secrets cryptographiques permettent de forger indéfiniment des jetons d'authentification et des charges utiles ViewState.

Chronologie de l'exploitation

Analyse technique

La cause racine de la CVE-2025-53770 réside dans la gestion par SharePoint des données sérialisées au sein du point de terminaison ToolPane.aspx. Ce composant, conçu pour la fonctionnalité de gestion des composants web de SharePoint, accepte des objets sérialisés sans validation adéquate. Combiné au contournement d'authentification dans la CVE-2025-53771, la surface d'attaque s'étend aux attaquants distants non authentifiés.

Le contournement d'authentification exploite une faille logique dans la façon dont SharePoint traite l'en-tête HTTP Referer. En définissant cet en-tête sur /_layouts/SignOut.aspx, les attaquants déclenchent un chemin de code destiné aux opérations de déconnexion qui accorde par inadvertance la confiance à la requête. Cela représente une faiblesse architecturale fondamentale — les décisions d'authentification ne devraient jamais reposer sur des en-têtes fournis par le client.

Ce qui élève cette vulnérabilité de grave à catastrophique, c'est le mécanisme de persistance post-exploitation. Les valeurs MachineKey extraites (ValidationKey et DecryptionKey) sont des clés cryptographiques symétriques utilisées pour protéger ViewState et les jetons d'authentification. Avec ces clés, les attaquants peuvent forger des identifiants d'authentification valides indépendamment, maintenant l'accès même après que la vulnérabilité est corrigée et le web shell supprimé.

Indicateurs de compromission

Adresses IP malveillantes

107.191.58.76, 104.238.159.149, 96.9.125.147 — observées dans les vagues d'exploitation initiales. Bloquer en périmètre et enquêter sur les connexions historiques.

Artefact web shell

spinstall0.aspx déployé dans le répertoire \TEMPLATE\LAYOUTS\. SHA256 : 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514

Point de terminaison cible

Les requêtes POST vers /_layouts/15/ToolPane.aspx ou /_layouts/ToolPane.aspx avec SignOut.aspx dans l'en-tête Referer indiquent des tentatives d'exploitation.

Chaîne User-Agent

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 — utilisée dans les attaques observées, bien que facilement modifiable.

Vulnérabilités connexes

La vulnérabilité de désérialisation originale découverte et démontrée à Pwn2Own Berlin 2025. Microsoft l'a corrigée le 8 juillet 2025, mais la CVE-2025-53770 représente un contournement de ces correctifs initiaux.

Le composant de contournement d'authentification original de la chaîne ToolShell. Corrigé en même temps que la CVE-2025-49704 le 8 juillet 2025, mais également contourné lors d'une exploitation ultérieure.

Le composant de contournement d'authentification exploité aux côtés de la CVE-2025-53770. Utilise la manipulation de l'en-tête Referer pour contourner l'authentification. Corrigé dans la mise à jour d'urgence du 19 juillet 2025.

Stratégies d'atténuation

1

Appliquer immédiatement les mises à jour de sécurité

Installez KB5002768 (Subscription Edition), KB5002754 (2019) ou KB5002760 (2016) sans délai. Ces correctifs traitent à la fois la faille de désérialisation et le contournement d'authentification.

2

Mener une évaluation de compromission

Recherchez spinstall0.aspx ou d'autres fichiers ASPX anormaux dans le répertoire LAYOUTS. Examinez les journaux IIS pour les requêtes POST vers ToolPane.aspx avec des en-têtes Referer suspects.

3

Faire pivoter les clés cryptographiques

Si une compromission est suspectée ou confirmée, faites pivoter la configuration MachineKey (ValidationKey et DecryptionKey). Sans cette étape, les attaquants conservent la capacité de forger des identifiants.

4

Activer l'intégration AMSI

Microsoft recommande d'activer l'intégration AMSI (Antimalware Scan Interface) dans SharePoint pour détecter les charges utiles malveillantes pendant la désérialisation.

5

Déployer la protection des points de terminaison

Assurez-vous que Microsoft Defender ou un AV équivalent est déployé sur tous les serveurs SharePoint avec la protection en temps réel activée. Des signatures de détection pour spinstall0.aspx sont disponibles.

6

Mettre en œuvre une protection WAAP

Déployez des règles de pare-feu d'application web pour détecter et bloquer les tentatives d'exploitation ciblant ToolPane.aspx. Filtrez les requêtes avec des en-têtes Referer suspects.

7

Restreindre l'accès externe

Si l'accès externe à SharePoint n'est pas critique pour l'activité, restreignez les points de terminaison /_layouts/ aux réseaux internes uniquement à l'aide de règles de pare-feu ou de la configuration de proxy inverse.

La fenêtre de 72 heures : leçons pour la sécurité d'entreprise

La CVE-2025-53770 démontre la compression du cycle de vie des vulnérabilités. De la PoC publique à l'exploitation de masse en 72 heures ne laisse aucune place aux cycles de correctifs traditionnels. Les organisations doivent : (1) maintenir un renseignement sur les vulnérabilités en temps réel, (2) avoir des procédures de correction d'urgence pré-autorisées, (3) déployer des contrôles compensatoires comme un WAAP pendant l'application des correctifs, et (4) supposer la violation et se préparer à une évaluation de compromission. La nature de contournement de correctif de cette vulnérabilité souligne également que les correctifs initiaux peuvent être insuffisants — une surveillance continue des nouvelles CVE affectant le même composant est essentielle.

Comment TR7 protège contre l'exploitation de SharePoint

Règles WAAP de désérialisation

La protection des applications web et des API de TR7 inclut des règles pour détecter et bloquer les schémas d'attaque par désérialisation, y compris ceux ciblant les points de terminaison SharePoint.

Détection de manipulation d'en-têtes

L'inspection avancée des requêtes identifie les combinaisons d'en-têtes suspectes, y compris la manipulation de l'en-tête Referer utilisée dans les attaques de contournement d'authentification.

Politiques de contrôle d'accès

Des règles de contrôle d'accès granulaires peuvent restreindre l'accès aux points de terminaison administratifs sensibles comme /_layouts/ aux seuls réseaux autorisés.

Analyse des menaces en temps réel

Surveillance continue et alerte pour les tentatives d'exploitation. Identifiez les schémas d'attaque et les IOC à travers votre infrastructure.

Journalisation complète

Une journalisation détaillée des requêtes permet l'analyse forensique et l'évaluation de compromission. Corrélez les tentatives d'attaque avec le renseignement IOC.

Réponse automatisée aux menaces

Blocage automatisé des IP malveillantes connues et des schémas d'attaque. Réduisez le temps d'atténuation d'heures à secondes.

Références et sources

Analyse technique complète de l'exploitation de CVE-2025-53770, y compris les IOC, la chronologie d'attaque et les directives de détection. https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/

Guide client officiel Microsoft pour la CVE-2025-53770, y compris les informations sur les correctifs et les atténuations recommandées. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

Détails sur les règles WAAP d'urgence de Cloudflare et le volume d'attaques observé (300 000 tentatives au pic). https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/

Analyse de l'équipe sécurité de la chaîne d'exploit ToolShell et recommandations pour les équipes sécurité. https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/

Entrée officielle de la National Vulnerability Database avec scoring CVSS et détails techniques. https://nvd.nist.gov/vuln/detail/CVE-2025-53770

Perspective de sécurité cloud sur CVE-2025-53770 et CVE-2025-53771, y compris les stratégies de détection. https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k

Protégez votre infrastructure SharePoint

La CVE-2025-53770 démontre que les fenêtres d'exploitation zero-day se compriment à quelques jours, et non quelques semaines. La plateforme de sécurité intégrée de TR7 fournit une défense en profondeur contre les menaces émergentes ciblant les applications d'entreprise.

Découvrir la protection WAAP