[MàJ] Multiples vulnérabilités dans Microsoft SharePoint (21 juillet 2025)
**[Mise à jour du 23 juillet 2025]** Le 20 juillet 2025, Microsoft a publié des correctifs pour une vulnérabilité de type limitation insuffisante d'un chemin d'accès à un répertoire restreint, aussi appelé
Résumé
[Mise à jour du 23 juillet 2025]
Le 20 juillet 2025, Microsoft a publié des correctifs pour une vulnérabilité de type limitation insuffisante d'un chemin d'accès à un répertoire restreint, aussi appelé path traversal, affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. L'éditeur indique que la vulnérabilité CVE-2025-53771 permet à un attaquant de provoquer une usurpation d'identité sur un réseau.
[Mise à jour du 22 juillet 2025]
Microsoft a publié les mises à jour cumulatives (Cumulative Update, CU) de sécurité pour SharePoint Enterprise Server 2016.L'éditeur fournit également des marqueurs de compromission à rechercher [3].
[Publication initiale]
Le 19 juillet 2025, Microsoft a publié des correctifs pour une vulnérabilité de type jour-zéro affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. L'éditeur indique que la vulnérabilité CVE-2025-53770 permet à un attaquant de provoquer une désérialisation de données non fiables entrainant une exécution de code arbitraire à distance.
Microsoft indique que la vulnérabilité CVE-2025-53770 est activement exploitée.
Pour limiter les attaques potentielles, l'éditeur a fait des recommandations [1].
Le CERT-FR recommande les actions suivantes :
- si l'instance SharePoint est dans une version disposant d'un correctif pour cette vulnérabilité :
- appliquer les dernières mises à jour de sécurité, y compris la mise à jour de sécurité de juillet 2025 ;
- effectuer une rotation des clés de machine ASP.NET du SharePoint Server [2];
- redémarrer IIS sur tous les serveurs SharePoint.
- si ça n'est pas le cas, déconnecter ou filtrer les accès à cette instance.
L'éditeur fournit des moyens de détection et de protection pour Microsoft Defender Antivirus [1].
Recherche de compromission
[Mise à jour du 23 juillet 2025]
Dès que le correctif est appliqué ou l’instance SharePoint isolée :
- effectuer une recherche de compromission ;
- rechercher dans les journaux réseau IIS SharePoint en privilégiant la période allant du 7 juillet 2025 jusqu'à la date d'application des correctifs de sécurité.
Les caractéristiques des requêtes HTTP sont décrites ci-dessous:
| Caractéristiques HTTP | Valeur(s) à rechercher |
|---|---|
| Méthode HTTP | POST |
| URL | /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
/_layouts/16/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx |
| Referer | /_layouts/SignOut.aspx
https:// <cible>/_layouts/SignOut.aspx
http:// <cible>/_layouts/SignOut.aspx |
<cible> étant le nom de domaine de votre SharePoint.
Si des journaux système sont disponibles, rechercher des processus inhabituels générés par le processus IIS w3wp.exe tels que powershell.exe ou cmd.exe.
En cas de compromission, signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les fiches réflexes de compromission système [4][5].
Le CERT-FR recommande de déterminer si l’instance SharePoint n’héberge pas des secrets d’administration du système d'information.
- Vues : 174