Microsoft confirme que des pirates informatiques exploitent des failles de SharePoint. Corrigez-les maintenant.

Microsoft a publié de nouvelles mises à jour de sécurité pour corriger deux vulnérabilités graves affectant les serveurs SharePoint sur site, avertissant que les attaquants les exploitent déjà dans des campagnes actives.

Les vulnérabilités, identifiées comme CVE-2025-53770 et CVE-2025-53771 , ne sont pas présentes dans SharePoint Online, mais les environnements locaux utilisant SharePoint 2019 et SharePoint Subscription Edition sont directement menacés.

Selon les nouvelles directives de Microsoft, des correctifs pour SharePoint 2019 et l'édition Subscription sont désormais disponibles et corrigent entièrement les deux vulnérabilités. Cependant, les clients de SharePoint 2016 attendent toujours, car Microsoft indique que les mises à jour pour cette version sont encore en développement. En attendant, l'entreprise recommande aux utilisateurs concernés d'appliquer les correctifs existants, d'activer les protections clés et de se préparer aux mises à jour supplémentaires.

Ces deux vulnérabilités sont dangereuses car elles permettent aux attaquants d'exécuter du code et d'implanter des webshells sur des serveurs vulnérables. Microsoft affirme que ces attaques ont déjà été observées, et la présence d'un fichier suspect appelé spinstall0.aspx constitue un signe évident de compromission. Les analystes en sécurité recommandent de vérifier la présence de ce fichier dans les répertoires des serveurs SharePoint , car il signale souvent une activité post-exploitation.

Bien que des correctifs soient disponibles pour certaines versions, Microsoft souligne que l'application de correctifs seuls ne suffit pas. Les clients doivent également effectuer une rotation des clés de machine et redémarrer IIS pour résoudre complètement le problème. Ces étapes sont particulièrement importantes pour les utilisateurs de SharePoint Server 2019 et de l'édition d'abonnement, pour lesquels des correctifs sont disponibles dès aujourd'hui.

Pour protéger votre système contre toute exploitation, Microsoft encourage les organisations à adopter une approche en plusieurs couches : effectuez une mise à jour immédiate, activez l'interface d'analyse anti-programme malveillant (AMSI), faites tourner les clés de la machine et déployez une protection des points de terminaison.

Microsoft Defender Antivirus et Defender for Endpoint sont équipés pour détecter les comportements connus liés à cette menace, y compris les signatures de logiciels malveillants spécifiques comme HijackSharePointServer.A et SuspSignoutReq.A .

L'entreprise recommande également de déployer Microsoft Defender for Endpoint ou un outil de détection des menaces similaire, car il génère des alertes susceptibles de signaler des tentatives d'exploitation. Celles-ci peuvent apparaître dans les journaux sous forme d'activité inhabituelle dans les processus w3wp.exe ou de commandes PowerShell codées liées au déploiement d'un shell Web.

Bien que Microsoft continue de prendre en charge les versions 2016 et 2019, les éditions plus anciennes, comme SharePoint 2010 et 2013, ne sont plus éligibles aux mises à jour de sécurité , exposant ainsi votre système à de nouvelles attaques. Par conséquent, si vous utilisez encore des versions plus anciennes ou non prises en charge de SharePoint, mettez-les à niveau vers la dernière version.