2025-07-23: MISE A JOUR: nous avons maintenant une méthode de détection fiable. Près de 500 adresses IP uniques vulnérables, comptant de nombreuses organisations gouvernementales.
La CVE-2025-53770 est actuellement massivement exploitée pour déployer des Web shells par des cyber criminels. Nous avons mis à disposition de nos clients les données leur permettant d’identifier, sur leur périmètre, les machines actuellement compromises. Explications.
De quel type de vulnérabilité parle-t-on ?
Il s’agit d’une vulnérabilité de type « Remote Code Execution (RCE)« , à distance, et sans authentification. Le niveau le plus critique donc, sachant que ce type de produit permet de partager des informations potentiellement confidentielles au sein d’une entreprise. Des données juteuses pour les cyber criminels.
Selon nos données, plus de 11 000 adresses IP uniques sont exposées sur Internet, concernant les installations on-premise du produit Microsoft SharePoint Server. Ce sont ces installations on-prem qui sont à risque, Microsoft ayant fait le nécessaire sur son infrastructure pour éviter que ses clients ne se fassent pirater.
Historique de divulgation de la vulnérabilité
En Mai 2025, des chercheurs de Viettel Cyber Security ont révélé les détails concernant deux failles critiques : CVE-2025-49706 et CVE-2025-49704 auxquelles ils ont donné le nom de « toolshell« . Microsoft a diffusé les patch sur son bulletin du mois de Juillet.
Mais ce n’est pas fini, ces patch étaient incomplets, et d’autres chercheurs ont identifié une méthode de contournement. Ainsi, nous avons maintenant deux nouvelles CVE (CVE-2025-53770 et CVE-2025-53771) qui sont actuellement activement exploitées par des attaquants pour déployer des Web shells, un mécanisme de persistance permettant un accès à distance sur les instances compromises.
Notre perspective
Comme nous scannons Internet, que ce soient des adresses IP ou des URL, nous sommes en mesure d’identifier le nombre de serveurs Microsoft SharePoint Server exposés sur Internet, qu’ils soient sur une IP dédiée ou une IP partagée. Dans le second cas, il s’agit, dans certains cas, de prestataires opérant les instances SharePoint pour le compte de leurs clients.
Aussi, nous avons identifié, en nombre d’adresses IP uniques, plus de 11 000 instances exposées. Parmi celles-ci, nous comptons 139 adresses IP uniques déjà compromises. Parmi les victimes, sans surprise des universités, quelques banques, mais surtout un certain nombre d’organisations gouvernementales …
Nous travaillons actuellement sur une méthode de détection à distance des instances vulnérables, nous mettrons à jour ce billet en conséquence.
À propos de ONYPHE :
ONYPHE est une solution de gestion de la surface d’attaque, surveillant l’exposition des équipements vulnérables sur internet en analysant les adresses IP, les services accessibles, les URL et les indicateurs d’exploitation active.
Grâce à une collecte de données en temps réel sur plus de 370 millions de domaines et près de 500 millions d’adresses IP actives (IPv4 et IPv6 confondues), ONYPHE permet d’identifier les systèmes affectés, d’évaluer les risques portés par ces actifs et de suivre l’évolution des vulnérabilités exploitées.
Pour en savoir plus, découvrez-nous à l’adresse : https://www.onyphe.io/
