Une nouvelle faille de Microsoft SharePoint est corrigée dans une mise à jour de sécurité d'urgence

Microsoft a publié un correctif de sécurité d'urgence qui freine les attaques "ToolShell" affectant les services dans le monde entier. Les correctifs pour Microsoft SharePoint Subscription Edition et SharePoint 2019 corrigent deux failles de sécurité critiques identifiées comme "CVE-2025-53770" et "CVE-2025-53771".

Actuellement, aucun correctif n'est disponible pour SharePoint 2016, mais Microsoft a indiqué qu'elle y travaillait. L'entreprise a recommandé aux administrateurs d'installer la "KB5002754 update"pour SharePoint 2019 et la "KB5002768 update"pour SharePoint Subscription Edition

Ces vulnérabilités permettent l'exécution à distance de code arbitraire sur des serveurs sans nécessiter d'authentification. L'exploit "CVE-2025-53770" a un score CVSS v3 de 9.8 et est activement exploité dans la nature.

Les attaquants ciblent les serveurs SharePoint connectés à Internet et au moins deux de ces attaques sont liées aux groupes de ransomware "Silk Typhoon" et "Storm-0506", tous deux connus pour cibler les serveurs d'entreprise.

La faille permet aux attaquants de voler des clés et d'usurper l'identité des utilisateurs, même si le serveur est redémarré ou corrigé. Jusqu'à présent, les versions "cloud" de SharePoint ne semblent pas être vulnérables aux attaques.

Les chercheurs en sécurité de Eye Security ont découvert les les failles le 18 juillet. L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis à l'adresse https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770 pour activer Antimalware Scan Interface (AMSI) et Microsoft Defender AV sur tous les serveurs SharePoint.

Si AMSI ne peut être activé, il est conseillé de déconnecter immédiatement les serveurs concernés du réseau jusqu'à ce qu'une solution soit trouvée.