Microsoft Corp (NASDAQ:MSFT) a publié une alerte critique concernant des attaques en cours sur les serveurs SharePoint sur site, exhortant les organisations à appliquer immédiatement les nouvelles mises à jour de sécurité.
L’alerte a été publiée le 19 juillet par le centre de réponse à la sécurité de Microsoft et met en évidence l’exploitation active de deux failles clés – une faille de spoofing et une faille d’exécution de code à distance – par des acteurs de menace liés à l’État.
Ces vulnérabilités n’affectent pas SharePoint Online hébergé sur Microsoft 365.
Les nouvelles mises à jour concernent les versions prises en charge de SharePoint Server, y compris l’édition par abonnement, 2019 et 2016.
A lire aussi: Microsoft embauche Google DeepMind pour renforcer ses systèmes d’IA, même en supprimant 9 000 emplois ailleurs : rapport
Microsoft a souligné que les correctifs adressaient également d’autres failles liées – CVE-2025-53770 et une faille de contournement CVE-2025-53771 – offrant une solution de sécurité plus complète.
Microsoft a attribué les campagnes d’exploitation à trois acteurs de menace basés en Chine : Linen Typhoon, Violet Typhoon et Storm-2603.
Les groupes ciblés ciblent activement les serveurs SharePoint accessibles via Internet depuis au moins le 7 juillet, selon la société.
Les attaques observées impliquent l’envoi d’une requête POST spécialement formulée à l’outil de panneau de configuration du serveur SharePoint, permettant aux acteurs de la menace de télécharger des scripts ASP.NET malveillants, souvent nommés des variantes de “spinstall0.aspx”.
Ces scripts permettent l’extraction des données MachineKey via des demandes GET, ce qui prend en charge une compromission plus profonde des systèmes cibles. Microsoft a publié des indicateurs de compromission (IOC) et des requêtes de détection de menaces pour aider les défenseurs à identifier de telles activités.
La tempête Linen, active depuis 2012, a déjà ciblé les secteurs gouvernementaux et de la défense pour le vol de propriété intellectuelle. La tempête violette, active depuis 2015, se concentre sur l’espionnage impliquant des ONG, des médias et des établissements d’enseignement. La tempête 2603, un acteur chinois séparé, a déjà été liée au déploiement de ransomware, bien que ses motivations actuelles restent floues.
Microsoft continue de surveiller la situation et presse les administrateurs de réagir rapidement. Il a averti que le retard dans l’application des correctifs pourrait laisser les systèmes vulnérables à des campagnes d’exploitation plus larges.
Une mise à jour de sécurité publiée par Microsoft ce mois-ci n’a pas entièrement corrigé une faille sérieuse dans son logiciel serveur SharePoint, selon une chronologie consultée par Reuters. Cela a laissé les systèmes vulnérables à une campagne majeure de cyber-espionnage mondial.
Mardi, un porte-parole de Microsoft a admis que le correctif original, basé sur une faille découverte lors d’une compétition de pirates informatiques en mai, était inefficace.
Cependant, la société a déclaré avoir publié des mises à jour supplémentaires qui résolvent entièrement le problème.
On ne sait toujours pas qui a mené l’espionnage, qui a affecté environ 100 organisations.
La faille de sécurité utilisée dans l’attaque a été découverte pour la première fois en mai lors d’une compétition de piratage à Berlin organisée par la société de cybersécurité Trend Micro. L’événement offrait des récompenses en espèces pour trouver des bogues dans des logiciels largement utilisés.
Lors de cette compétition, un chercheur de Viettel – une société de télécommunications appartenant à l’armée du Vietnam – a découvert une faille dans Microsoft SharePoint. Il l’a appelé “ToolShell” et a montré comment il pourrait être utilisé pour lancer une attaque.
Mouvement des prix: Mercredi, lors du dernier check, l’action MSFT a chuté de 0,64 % à 502,05 dollars.
Lire la suite:
Photo : Shutterstock