Vulnérabilité critique (zero-day) dans Microsoft SharePoint Server (on‑premises) qui permet l’accès complet au contenu SharePoint, exfiltration de clés cryptographiques, installation de web shells (ex. spinstall0.aspx), contournement de l’authentification, puis exécution arbitraire de code même après patch.
Largement exploitée depuis au moins le 18 juillet 2025.
Détails techniques :
Cette faille provient d’une vulnérabilité de désérialisation dans le flux de travail SharePoint ou les interfaces SOAP. Un attaquant peut alors envoyer une charge utile spécialement conçue à des points de terminaison tels que /ToolPane.aspx ou /ToolShell.aspx et exécuter du code arbitraire sans authentification.
Une fois exploitée, les attaquants peuvent :
• Introduire des shells web (par exemple, spinstall0.aspx)
• Extraire les clés de validation et de déchiffrement de la mémoire
• Utiliser des clés volées pour falsifier des charges utiles ViewState malveillantes, même après l’application du correctif
• Contourner l’authentification et maintenir un accès persistant
L’exploit est initialement sans fichier (via l’injection ViewState) et peut contourner la journalisation standard et la protection des points de terminaison.
Versions affectées :
- SharePoint Server 2016 (non patché au 22 juillet)
- SharePoint Server 2019
Recommandations :
Mitigations d’urgence (avant patch)
1. Activer l’AMSI (Antimalware Scan Interface) dans SharePoint et utiliser Microsoft Defender Antivirus
2. Si AMSI est impossible : déconnecter le serveur du réseau public (Internet)
3. Déployer Microsoft Defender for Endpoint pour détecter les activités malveillantes après exploitation
4. Bloquer via WAF/IPS les requêtes HTTP POST binaires (Content‑Type application/octet‑stream) et les accès aux endpoints suspects (To
olPane.aspx)
5. Renseigner la chasse aux menaces avec des détections (ex. fichiers spinstall0.aspx, POST vers ToolPane.aspx, trafic inhabituel w3wp
.exe)
Patch disponible & recommandations permanentes
• Microsoft a publié des mises à jour d’urgence le 20–21 juillet :
◦ SharePoint Server 2019 et Subscription Edition patchés
◦ SharePoint 2016 : patch en cours de préparation
• Une fois le correctif installé :
1. Appliquer immédiatement les mises à jour via Windows Update, WSUS ou portail de sécurité MSRC
2. Faire tourner une rotation des clés cryptographiques (ValidationKey, DecryptionKey) – absolument essentiel, car les clés exposé
es permettent aux attaquants de continuer à forger des ViewState malveillants même après l’installation du patch
3. Vérifier les indicateurs de compromission (IoC) : fichiers malveillants, entrées suspectes, trafic sortant Reddit+6Help Net Sec
urity+6Reddit+6.
4. Isoler ou reconstruire les serveurs compromis, selon les recommandations des alertes post-compromission Strobes Security+1Criti
cal Path Security+1.
Ajout de la détection par ONYPHE
Cette détection concernant le Web shell a été ajoutée le 21 Juillet 2025 dans notre moteur.
La détection de la vulnérabilité a été ajoutée le 23 Juillet 2025 dans notre moteur.
