Microsoft au cours du week-end a reconnu les attaques actives ciblant les serveurs SharePoint sur site, affectant potentiellement des milliers d’entreprises et d’agences gouvernementales.
Le cabinet de recherche sur la sécurité Eye Security a signalé pour la première fois l’exploit vendredi soir, affirmant qu’il avait trouvé des dizaines de systèmes sur plus de 8 000 serveurs SharePoint activement compromis lors de deux vagues d’attaques vendredi et samedi.
Microsoft a publié samedi des correctifs pour les attaques zéro-jours ciblant SharePoint 2019. Mais lundi matin, les risques pour SharePoint 2016 étaient toujours actifs. La société a déclaré sur X qu’elle travaillait sur un patch.
Chris Butera, directeur adjoint exécutif par intérim de la division de cybersécurité de CISA, a déclaré que le gouvernement travaillait avec Microsoft pour aborder rapidement les attaques. “Microsoft réagit rapidement et nous travaillons avec l’entreprise pour aider à informer les entités potentiellement touchées sur les atténuations recommandées”, a-t-il déclaré dans un communiqué.
Un article de mars de Cloudwell affirme qu’environ 40% des organisations aux États-Unis dirigent SharePoint sur site. Alors que Microsoft a poussé les utilisateurs à adopter ses produits Cloud SharePoint, de nombreux clients – y compris les agences gouvernementales – utilisent toujours des serveurs SharePoint sur site en raison de problèmes de coût et de sécurité.
Cela laisse plusieurs milliers d’organisations et des millions d’utilisateurs dans le monde en danger pour cette dernière attaque.
Il s’agit d’une menace de haute sévérité et de haute urgence.
Michael SikorskiCTO et responsable des renseignements sur les menaces pour l’unité 42, Palo Alto Networks
“Ce qui rend cela particulièrement préoccupant, c’est l’intégration profonde de SharePoint avec la plate-forme de Microsoft, y compris leurs services comme Office, Teams, OneDrive et Outlook, qui a toutes les informations précieuses pour un attaquant”, a déclaré Michael Sikorski, CTO et responsable de la menace pour l’unité 42 chez Palo Alto Networks, dans un communiqué. “Un compromis ne reste pas contenu – il ouvre la porte à l’ensemble du réseau.”
Il a ajouté: “Il s’agit d’une menace élevée et de haute urgence.”
Sikorski a déclaré que les attaquants contournent l’authentification multifactorielle et les contrôles d’identité de connexion unique pour obtenir un accès privilégié, leur permettant de saisir des données sensibles et de voler des clés cryptographiques. Il a dit que le patchage seul pourrait ne pas suffire à supprimer la menace, car les attaquants ont pris de la porte dérobée.
Que faire maintenant
Microsoft a déclaré que les clients concernés devraient appliquer les dernières mises à jour de sécurité, y compris la mise à jour de sécurité de juillet 2025, s’assurer que l’interface de numérisation anti-logiciels est activée, configurée correctement et utilise des logiciels antivirus, déployez Microsoft Defender pour la protection des points de terminaison et tourne les touches machine ASP.NET SharePoint ASP.NET.
Les mises à jour de sécurité sont disponibles pour SharePoint 2019 et SharePoint Enterprise Server 2016. Microsoft a déclaré que les organisations incapables d’appliquer immédiatement les correctifs devraient déconnecter les serveurs d’Internet.
Informa Techtarget a contacté Microsoft pour plus de commentaires.
Shane Snider, un journaliste vétéran avec plus de 20 ans d’expérience, couvre l’infrastructure informatique chez Informa Techtarget.
