Microsoft a publié des correctifs de sécurité hors cycle pour corriger deux failles de type exécution de code à distance (RCE) dans SharePoint, activement exploitées. Ces failles, référencées CVE-2025-53770 et CVE-2025-53771, sont connues sous le nom de “ToolShell”. Des attaquants exploitent ces vulnérabilités afin de prendre le contrôle total des serveurs SharePoint vulnérables.Sommaire de la situation:
- RCE non authentifiée : Une exploitation réussie permet à un attaquant distant d’exécuter du code arbitraire dans le contexte des serveurs SharePoint connectés (farms).
- Attaques actives en cours : Les campagnes ToolShell sont en cours. Tout retard de correctif augmente considérablement les risques.
- Correctifs précédents incomplets : Les mises à jour de juillet (Patch Tuesday du 8 juillet) n’ont pas corrigé ces nouveaux contournements.
Actions requises
- SharePoint Server 2019 – Installer le correctif KB5002754
- SharePoint Subscription Edition – Installer le correctif KB5002768
- SharePoint Enterprise Server – Correctif en attente, préparez le déploiement dès sa publication par Microsoft
- Après installation des correctifs, effectuez une rotation des clés machine SharePoint pour invalider les jetons potentiellement falsifiés :
- PowerShell : Update-SPMachineKey
- Administration centrale : Surveillance> Examiner les définitions de tâches> Tâche de rotation des clés machine > Exécuter maintenant, puis iistreset sur tous les serveurs frontaux web.
Vérifications recommandées :
- Recherchez le fichier spinstall0.aspx dans :
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\ - Examinez les journaux IIS pour des requêtes POST suspectes vers :
/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.asp avec le référent : /_layouts/SignOut.aspx - Utilisez Microsoft 365 Defender pour interroger la création récente du fichier spinstall0.aspx
Si l’un de ces indicateurs est présent, initiez immédiatement une procédure complète de réponse à incident.
Notre soutien:
- Assistance au déploiement : L’équipe VMaaS est disponible pour planifier ou vous aider dans l’application urgente des correctifs.
- Chasse aux menaces : Nous mettons à jour notre contenu de détection et effectuerons des recherches ciblées des artefacts ToolShell.
Agissez aujourd’hui
Ignorer ces menaces pourrait rendre votre entreprise vulnérable à un incident de sécurité grave. Si vous souhaitez en savoir plus sur la manière dont GoSecure peut aider à protéger votre organisation, contactez-nous dès aujourd’hui pour une consultation de sécurité.
CAS D'UTILISATION
Cyberrisques
Mesures de sécurité basées sur les risques
Sociétés de financement par capitaux propres
Prendre des décisions éclairées
Sécurité des données sensibles
Protéger les informations sensibles
Conformité en matière de cybersécurité
Respecter les obligations réglementaires
Cyberassurance
Une stratégie précieuse de gestion des risques
Rançongiciels
Combattre les rançongiciels grâce à une sécurité innovante
Attaques de type « zero-day »
Arrêter les exploits de type « zero-day » grâce à une protection avancée
Consolider, évoluer et prospérer
Prenez de l'avance et gagnez la course avec la Plateforme GoSecure TitanMC.
24/7 MXDR
Détection et réponse sur les terminaux GoSecure TitanMC (EDR)
Antivirus de nouvelle génération GoSecure TitanMC (NGAV)
Surveillance des événements liés aux informations de sécurité GoSecure TitanMC (SIEM)
Détection et réponse des boîtes de messagerie GoSecure TitanMC (IDR)
Intelligence GoSecure TitanMC
Notre SOC
Défense proactive, 24h/24, 7j/7