Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU
NOUVEAU

Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Techniques d'attaque

CVE-2025-53770 : Un exploit critique 9.8/10 ciblant SharePoint

23 juillet 2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
CVE-2025-53770 : Un exploit critique 9.8/10 ciblant SharePoint

Au cours du week-end dernier, une vague à grande échelle d'attaques non authentifiées par exécution de code à distance (RCE), connues sous le nom de ToolShell, a commencé à cibler les serveurs Microsoft SharePoint sur site dans le monde entier. Il s'agit d'une campagne réelle et rapide qui tire parti de deux vulnérabilités récemment divulguées: CVE-2025-53770 et CVE-2025-53771.

Ces failles exploitent un bogue de désérialisation dans ASP.NET, ce qui permet aux attaquants d'accéder à distance aux serveurs SharePoint sans avoir besoin d'informations d'identification ou d'interaction avec l'utilisateur.

Pas de nom d'utilisateur. Pas d'phishing. Pas de malware. Juste une requête HTTP envoyée à un endpoint SharePoint exposé.

Voici ce que les équipes de sécurité doivent comprendre et comment la plateforme Vectra AI peut aider à stopper ces attaques avant qu'elles ne se propagent.

Ce qui se passe : Les 3 choses les plus importantes à savoir

1. L'exploitation est active et continue

Les attaquants utilisent une chaîne d'exploitation armée appelée ToolShell pour compromettre les serveurs SharePoint 2016, 2019 et Subscription Edition sur site. La chaîne combine deux failles qui permettent l'exécution de code à distance sans authentification. L'entrée initiale ne nécessite qu'une requête POST élaborée.

En bref : les pirates peuvent compromettre entièrement votre serveur SharePoint sans se connecter. Et ils le font déjà.

2. L'exploit permet un accès furtif et à long terme

Une fois à l'intérieur, les attaquants téléchargent un petit webshell (spinstall0.aspx) pour extraire les clés cryptographiques du serveur : ValidationKey et DecryptionKey. Avec ces clés, ils peuvent falsifier des jetons de confiance (__VIEWSTATE) et exécuter des commandes à plusieurs reprises, même si vous changez de mot de passe ou si vous appliquez un correctif par la suite.

En bref : une fois à l'intérieur, les attaquants peuvent créer un accès de confiance qui leur permet d'aller et venir sans être détectés, même lorsque vous pensez avoir résolu le problème.

3. La campagne est mondiale et s'accélère

Eye Security et d'autres chercheurs ont confirmé l'existence d'un balayage de masse et d'une compromission généralisée. Plus de 85 organisations ont déjà été touchées. Des outils publics et des listes d'adresses IP circulent, et plus de 9 300 serveurs SharePoint ont été identifiés comme exposés à l'internet...

En bref : les outils permettant d'exploiter cette situation sont publics, les cibles sont connues et votre serveur SharePoint pourrait être le prochain.

Pourquoi les attaquants adorent CVE-2025-53770

  • Aucune connexion n'est nécessaire : L'attaque fonctionne sans identifiant ni phishing.
  • Contrôle complet du serveur : Accès complet aux données SharePoint, aux fichiers système et aux configurations.
  • Potentiel de mouvement latéral : Pivot vers Exchange, OneDrive, Teams et Active Directory.
  • Vol de clés cryptographiques : Les clés de machine volées permettent d'accéder à des portes dérobées à long terme.
  • Difficile à détecter : L'exploit imite le trafic et l'activité légitimes de SharePoint.

Anatomie de l'exploit ToolShell

  • Requête HTTP malveillante Étape 1
    L'auteur de l'attaque envoie un message POST élaboré à l'adresse suivante /_layouts/15/ToolPane.aspx avec un faux Référent : /SignOut.aspx.
  • Contournement de l'authentification Étape 2
    Le serveur ne tient pas compte de la validation correcte des références, ce qui permet un accès non authentifié à la fonctionnalité de téléchargement.
  • Webshell téléchargé Étape 3
    Un système furtif spinstall0.aspx est abandonné, conçu pour déverser des clés cryptographiques, et non pour ouvrir un shell interactif.
  • Voler les clés de la machine Étape 4
    Le webshell invoque les éléments internes de .NET pour extraire les informations suivantes Clé de validation et Clé de décryptage de mémoire.
  • Créer des jetons ViewState Étape 5
    L'attaquant utilise des clés volées avec ysoserial pour générer des données valides et signées __VIEWSTATE des charges utiles.
  • Exécution de code à distance Étape 6
    Charge utile malveillante transmise à n'importe quelle page (par exemple, succès.aspx), exécutant les commandes de manière silencieuse.
  • Persistance et mouvement latéral Étape 7
    Des portes dérobées sont installées, les services sont analysés et l'attaquant se déplace latéralement dans le domaine.

Ce que les attaquants peuvent faire ensuite après avoir exploité CVE-2025-53770 et CVE-2025-53771

L'exploitation de ToolShell n'est pas la fin de l'attaque. C'est le début d'une compromission plus profonde. Une fois qu'un serveur a été violé, les attaquants peuvent.. :

1. Falsifier les jetons de confiance

Avec des clés de machine volées, les attaquants génèrent des charges utiles __VIEWSTATE valides pour exécuter des commandes malveillantes de manière répétée et silencieuse.

En bref : ils créent de fausses activités fiables qui contournent les contrôles normaux.

2. Établir des portes dérobées

Ils déploient souvent des webshells supplémentaires, altèrent les composants SharePoint ou modifient les configurations pour maintenir la persistance à travers les redémarrages et les correctifs.

En bref : ils cachent leur accès, de sorte que même les nettoyages futurs ne pourront pas les supprimer.

3. Se déplacer latéralement dans l'environnement

Les attaquants utilisent des identifiants et des jetons compromis pour accéder à d'autres systèmes et escalader les privilèges sur le réseau. Ils peuvent se déplacer latéralement à travers votre centre de données, votre réseau de campus, votre personnel à distance, votre infrastructure d'identité, vos services cloud et même vos systèmes IoT/OT. De là, ils ciblent souvent les services Microsoft 365 (Office, Teams, OneDrive et Outlook) pour voler des documents, des communications, des identifiants et d'autres données de grande valeur.

En bref : ils utilisent SharePoint comme rampe de lancement pour compromettre l'ensemble de votre environnement.

4. Utilisation abusive de Microsoft Copilot pour la reconnaissance

Si Copilot for SharePoint est activé, les attaquants peuvent l'utiliser pour résumer des documents, extraire du contenu sensible et cartographier des structures internes à l'aide de l'ingénierie d'invite.

En bref : ils utilisent vos propres outils d'IA pour trouver ce qui compte le plus, plus rapidement.

5. Voler des données ou demander une rançon

Avec un accès complet au contenu de SharePoint, aux courriels et aux documents internes, les attaquants peuvent exfiltrer des informations sensibles ou déployer des ransomwares.

En bref : ils transforment vos données en levier et en profit.

L'aide de Vectra AI

Les attaques comme ToolShell ne s'appuient pas sur des informations d'identification volées, des malware ou des interactions avec l'utilisateur. Elles exploitent des failles logiques dans des applications fiables, contournant l'identité, le endpoint et le périmètre par conception. C'est pourquoi la plupart des défenses traditionnelles ne les voient jamais venir.

Vectra AI fournit déjà une couverture de détection pour la chaîne d'exploitation originale de ToolShell (CVE-2025-49704) et sa variante plus récente, CVE-2025-53771, pour les clients qui utilisent Vectra Match avec une visibilité adéquate des capteurs. Ces détections identifient les tentatives d'exploitation basées sur la logique de désérialisation partagée et l'abus de endpoint utilisé dans la chaîne d'attaque. Notre équipe d'ingénieurs étend activement la couverture à d'autres variantes d'exploitation, y compris CVE-2025-53770, afin de garantir que la protection évolue en même temps que la menace.

Au-delà de la détection, la plateformeVectra AI permet à votre SOC d'enquêter avec rapidité et précision. Elle met en corrélation les comportements des attaquants à travers SharePoint, les systèmes d'identité et les services cloud - en mettant en évidence tout ce qui va du déploiement de webshell à l'exécution de PowerShell et au mouvement latéral.

Combiné à des intégrations avec votre SIEM, SOAR et EDR, Vectra AI permet une réponse rapide et sûre avant que les attaquants ne prennent de l'ampleur.

Prêt pour la prochaine variante ?

Que les attaquants modifient le Referer, changent le nom du fichier ou adoptent un nouveau zero-day, l'approche de Vectra AIne repose pas sur des IOC statiques ou des signatures. Elle utilise des modèles d'apprentissage automatique conçus pour détecter les abus de protocoles, de comportements et de privilèges, quelle que soit la manière dont ils sont présentés.

Vectra AI ne se contente pas de voir la brèche. Elle vous aide à la comprendre, à l'endiguer et à garder une longueur d'avance sur la suite des événements.

Si vous utilisez SharePoint sur site, vous ne pouvez pas vous permettre de compter uniquement sur les outils de périmètre.

Vectra AI comble le fossé de la visibilité là où d'autres n'y parviennent pas :

Foire aux questions