{"id":7136,"date":"2025-07-29T12:34:52","date_gmt":"2025-07-29T10:34:52","guid":{"rendered":"https:\/\/parlonstechs.com\/all\/?p=7136"},"modified":"2025-07-29T12:34:52","modified_gmt":"2025-07-29T10:34:52","slug":"faille-sharepoint-les-intrusions-se-multiplient-un-groupe-de-hackers-chinois-pointe-du-doigt","status":"publish","type":"post","link":"https:\/\/parlonstechs.com\/all\/2025\/07\/29\/faille-sharepoint-les-intrusions-se-multiplient-un-groupe-de-hackers-chinois-pointe-du-doigt\/","title":{"rendered":"Faille SharePoint : Les intrusions se multiplient, un groupe de hackers chinois point\u00e9 du doigt"},"content":{"rendered":"

\"What's<\/p>\n

La vuln\u00e9rabilit\u00e9 critique dans SharePoint Server, pourtant corrig\u00e9e, continue de faire l\u2019objet d\u2019attaques cibl\u00e9es. Google attribue certaines intrusions \u00e0 un groupe soutenu par la Chine, et alerte sur une g\u00e9n\u00e9ralisation probable du ph\u00e9nom\u00e8ne.<\/strong><\/h2>\n

Ce qui ressemblait au d\u00e9part \u00e0 une s\u00e9rie d\u2019attaques isol\u00e9es prend d\u00e9sormais une toute autre dimension. D\u2019apr\u00e8s plusieurs acteurs de la cybers\u00e9curit\u00e9,\u00a0la faille CVE-2025-53770, qui affecte les instances on-premise de SharePoint Server, est au c\u0153ur d\u2019une campagne d\u2019attaques bien plus vaste qu\u2019anticip\u00e9. Et si Microsoft a depuis corrig\u00e9 la vuln\u00e9rabilit\u00e9, la menace persiste pour de nombreuses structures n\u2019ayant pas encore patch\u00e9 leurs infrastructures \u2013 ou l\u2019ayant fait trop tard.<\/p>\n

 <\/p>\n

Une vague d\u2019intrusions plus ancienne et plus \u00e9tendue que pr\u00e9vu<\/h2>\n
\n
\n
\n

Il n\u2019aura pas fallu 48 heures apr\u00e8s la divulgation publique de la faille CVE-2025-53770 dans\u00a0SharePoint\u00a0pour que la situation prenne un tout autre relief. Ce qui ressemblait encore \u00e0 une s\u00e9rie d\u2019attaques cibl\u00e9es, ponctuelles et relativement contenues s\u2019est transform\u00e9 en tout autre chose \u2013 plus vaste, plus agressif, et surtout beaucoup plus visible.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
<\/div>\n<\/div>\n
\n
\n

Selon Check Point, les intrusions remonteraient en r\u00e9alit\u00e9 au 7 juillet, soit pr\u00e8s de deux semaines avant les premi\u00e8res observations rapport\u00e9es par Eye Security, qui situait les premi\u00e8res compromissions \u00e0 la mi-juillet. Un gouvernement occidental non nomm\u00e9 aurait \u00e9t\u00e9 vis\u00e9 d\u00e8s cette phase initiale, avant une intensification brutale des attaques autour des 18 et 19 du mois. Depuis, les cibles se sont multipli\u00e9es\u202f: entreprises \u00e9nerg\u00e9tiques, op\u00e9rateurs t\u00e9l\u00e9coms, administrations publiques, \u00e9diteurs de logiciels\u2026 avec une concentration des attaques en Am\u00e9rique du Nord et en Europe.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
<\/div>\n<\/div>\n
\n
\n

CrowdStrike affirme de son c\u00f4t\u00e9 avoir bloqu\u00e9 plusieurs centaines de tentatives d\u2019exploitation en tr\u00e8s peu de temps, ce qui confirme une activit\u00e9 bien plus soutenue que ne le laissaient supposer les premiers rapports.<\/p>\n

Sans surprise, toutes ces attaques s\u2019appuient sur la m\u00eame cha\u00eene de vuln\u00e9rabilit\u00e9s pr\u00e9sent\u00e9e au\u00a0Pwn2Own 2025, pourtant\u00a0patch\u00e9e par Microsoft en d\u00e9but de mois. L\u2019entreprise a depuis reconnu que les correctifs initiaux ne suffisaient pas, et que CVE-2025-53770 permettait malgr\u00e9 tout de compromettre des serveurs th\u00e9oriquement \u00e0 jour.<\/p>\n

\u00c9videmment, la publication r\u00e9cente d\u2019un exploit fonctionnel sur GitHub n\u2019a rien arrang\u00e9, et plusieurs acteurs malveillants ont depuis \u00e9t\u00e9 observ\u00e9s en train d\u2019en tirer parti, sans qu\u2019il soit possible, \u00e0 ce stade, de parler d\u2019une campagne coordonn\u00e9e. Dans un post LinkedIn, Charles Carmakal, CTO de Google Mandiant, a confirm\u00e9 qu\u2019au moins l\u2019un d\u2019entre eux \u00e9tait li\u00e9 \u00e0 la Chine, et pr\u00e9venu que les intrusions opportunistes devraient se multiplier dans les jours \u00e0 venir\u2026 y compris sur les serveurs SharePoint d\u00e9j\u00e0 patch\u00e9s.<\/p>\n

\"R\u00e9partition

R\u00e9partition g\u00e9ographique des organisations cibl\u00e9es par les attaques exploitant la faille SharePoint (CVE-2025-53770). \u00a9 Check Point Research<\/p><\/div>\n

 <\/p>\n

\n
\n
\n

Les correctifs neutralis\u00e9s par les vols de cl\u00e9s<\/h2>\n<\/div>\n<\/div>\n<\/div>\n
\n
\n
\n
\n
\n

C\u2019est l\u00e0 que r\u00e9side la principale inqui\u00e9tude. Car si certains serveurs n\u2019ont toujours pas \u00e9t\u00e9 mis \u00e0 jour, d\u2019autres restent expos\u00e9s\u2026 m\u00eame apr\u00e8s l\u2019application du patch. En cause, une technique d\u2019attaque document\u00e9e, entre autre, par\u00a0Bitdefender\u00a0et Unit 42, qui consiste \u00e0 exploiter la vuln\u00e9rabilit\u00e9 pour d\u00e9poser un webshell (spinstall0.aspx<\/code>) leur permettant d\u2019extraire les\u00a0ValidationKey<\/em>\u00a0et\u00a0DecryptionKey\u202f<\/em>\u2013\u202fdes cl\u00e9s cryptographiques essentielles. Avec ces informations, ils peuvent g\u00e9n\u00e9rer des tokens ou des payloads VIEWSTATE malveillants, afin de maintenir un acc\u00e8s persistant au syst\u00e8me, malgr\u00e9 le correctif.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
<\/div>\n<\/div>\n
\n
\n

Certaines variantes, d\u00e9crites par SentinelOne, \u00e9vitent m\u00eame toute \u00e9criture sur disque\u202f: les attaquants injectent directement des modules .NET en m\u00e9moire, ce qui complique consid\u00e9rablement la d\u00e9tection et l\u2019analyse a posteriori.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
<\/div>\n<\/div>\n
\n
\n

Ce que vous devez faire d\u00e8s maintenant<\/h2>\n<\/div>\n<\/div>\n<\/div>\n
\n
\n
<\/div>\n<\/div>\n
\n
\n

Les instances SharePoint Online ne sont pas concern\u00e9es. En revanche, pour les versions 2016, 2019 ou Subscription Edition h\u00e9berg\u00e9es en interne, Microsoft et la CISA recommandent :<\/p>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
<\/div>\n<\/div>\n
\n
\n