S'ils peuvent frapper une agence nucléaire, ils peuvent vous pirater : ce que l'exploit SharePoint signifie pour votre entreprise

L'exploit SharePoint a été utilisé contre des victimes de premier plan, notamment la National Nuclear Security Administration (NSA), le Département de la Sécurité intérieure (DSI), le Département de l'Énergie (DÉ) et le Département de la Santé et des Services sociaux (DSS), mais de nombreuses autres personnes ont également été touchées. Voici ce que cela signifie pour vous.

Le 20 juillet, Microsoft a publié un patch d'urgence Un avertissement a été émis après que des attaquants ont été découverts en train d'exploiter activement une vulnérabilité critique des serveurs SharePoint sur site pour contourner l'authentification. En cas de succès, les pirates pourraient accéder au contenu privé de SharePoint, y compris aux configurations internes et aux systèmes de fichiers.

Il est rapidement apparu que la faille était suivie comme CVE-2025-53770 et une variante CVE-2025-53771, collectivement connus sous le nom de ToolShell, étaient utilisés pour distribuer des ransomwares.

Quelques jours plus tard, il est devenu clair que le correctif SharePoint est intervenu après un correctif de sécurité échoué Plus tôt dans le mois, Microsoft a admis que sa solution initiale à la faille – identifiée lors d'un concours de hackers en mai – n'avait pas fonctionné, ce qui l'a obligé à publier des correctifs supplémentaires pour résoudre le problème.

À ce moment-là, les adversaires de la Chine et de l’État-nation, y compris Typhon Lin et Typhon Violet – ainsi que le gang Tempête-2603 – a fait des victimes, notamment au sein de l’Administration nationale de sécurité nucléaire des États-Unis, du Département de la sécurité intérieure, du Département de l’énergie et du Département de la santé et des services sociaux.

Microsoft a également admis que d’autres groupes utilisaient la vulnérabilité plus largement, avec ransomware inclus dans les attaques. On pense que les attaques Microsoft SharePoint ToolShell ont vu des adversaires compromettre 396 systèmes SharePoint dans plus de 145 organisations dans 41 pays.

Avec des cibles aussi prestigieuses, les attaques SharePoint peuvent sembler bien éloignées du quotidien des entreprises. Pourtant, cet incident devrait alerter toute organisation s'appuyant sur les services Microsoft, les plateformes cloud ou les outils de collaboration sur site. Si les attaquants parviennent à persister dans des environnements gouvernementaux renforcés, ils peuvent facilement exploiter les systèmes d'entreprise vulnérables en utilisant les mêmes tactiques.

Alors, que signifie l’exploit SharePoint pour les entreprises et comment pouvez-vous améliorer votre posture de sécurité pour éviter d’être pris entre deux feux d’attaques telles que celles-ci ?

La sécurité par l'obscurité

Les attaques SharePoint ToolShell ont démoli le mythe dangereux de la « sécurité par l'obscurité » : la fausse croyance selon laquelle les petites organisations ne seront pas ciblées parce qu'elles ne sont pas assez importantes, explique Dario Perfettibile, vice-président et directeur général des opérations européennes chez Kiteworks. ISMS.en ligne.

L'ampleur considérable de la faille révèle comment les cyberattaques modernes « utilisent l'exploitation automatisée pour cibler les vulnérabilités à grande échelle », plutôt que de se concentrer uniquement sur des organisations spécifiques, explique-t-il. « Avec plus de 9,300 XNUMX serveurs SharePoint exposés en ligne, les attaquants ont utilisé l'analyse automatisée pour identifier des milliers de systèmes vulnérables et ont exploité tout ce qu'ils ont trouvé. »

L'évolution de la campagne, passant d'espionnage commandité par l'État à des attaques opportunistes par rançongiciel, « illustre parfaitement ce phénomène », affirme Perfettibile. « Storm-2603 a vu dans les serveurs exposés des opportunités de monétisation. »

Les exploits SharePoint ont également mis en évidence que l'application de correctifs ne suffit pas toujours à résoudre le problème, si les attaquants sont déjà dissimulés dans les systèmes après l'accès initial. Dans le cas de SharePoint, les attaquants ont utilisé des techniques furtives qui ont persisté même après l'application de correctifs, exploitant ainsi la faiblesse des contrôles internes.

L'exploit lui-même est déjà préoccupant, mais il faut également prendre en compte la manière dont les attaquants opèrent une fois à l'intérieur, explique Pierre Noel, RSSI EMEA chez Expel. « Ils ont banalisé des techniques telles que…vivre de la terre, en utilisant les mêmes outils d'administration que votre équipe informatique. Ce qui était autrefois réservé aux attaquants sophistiqués est désormais intégré à tous les manuels de lutte contre les rançongiciels.

Dans cette optique, les mêmes tactiques utilisées pour l’espionnage au niveau national peuvent « tout aussi facilement être utilisées contre un détaillant de taille moyenne ou un prestataire de soins de santé », prévient-il.

Visibilité réduite

Pour aggraver les risques, de nombreuses organisations manquent de visibilité sur leurs outils de collaboration, ce qui crée des zones d'ombre lors des évaluations des risques. Bien que les outils de collaboration soient essentiels à la productivité, ils « bénéficient rarement du même niveau de surveillance que les terminaux ou les pare-feu », explique Noel. « Les journaux sont incomplets, les intégrations de sécurité sont négligées et la plupart des évaluations des risques les ignorent complètement, laissant les plateformes sur lesquelles les employés travaillent sans surveillance et exposées. »

Licences Microsoft E3 Les journaux de sécurité peuvent être limités sous charge et retarder leur livraison jusqu'à 72 heures, alors que la plupart des plateformes ne conservent les journaux d'audit que pendant 90 jours à un an, explique Perfettibile. « C'est beaucoup trop court, alors que les investigations forensiques ont révélé que les compromissions SharePoint avaient eu lieu des mois avant leur détection. »

Cette « surveillance fragmentée » crée également « les conditions idéales pour une exfiltration de données non détectée », prévient Perfettibile. « Les attaquants peuvent répartir leurs activités sur plusieurs plateformes afin de rester sous les seuils de détection de chaque système, tandis que les équipes de sécurité ne disposent pas de l'analyse comportementale multiplateforme nécessaire pour repérer les tendances. »

Mesures de sécurité

Les attaques SharePoint nous rappellent que toutes les entreprises sont vulnérables aux violations, même si les attaquants ciblent en premier lieu des cibles importantes. Compte tenu de ce constat, voici quelques mesures clés que vous pouvez prendre dès maintenant pour vous protéger.

Saeed Abbasi, responsable senior de la gestion des produits chez Qualys Threat Research Unit, conseille aux entreprises de réaliser un audit d'urgence afin de cartographier l'ensemble de leur surface d'attaque SharePoint, sur site et en ligne. « Identifiez chaque ressource exposée à Internet, sa version et son propriétaire, puis triez les correctifs en fonction de leur exposition et de leur exploitabilité, en appliquant des correctifs critiques dans le cadre d'accords de niveau de service rigoureux. »

Pour tout actif pour lequel une correction immédiate n’est pas possible, Abbasi recommande d’appliquer des « techniques de correction avancées » – telles que l’isolement de l’hôte ou la mise en œuvre de mesures d’atténuation temporaires – jusqu’à ce qu’un correctif permanent puisse être déployé.

Parallèlement, il est judicieux de renforcer toutes les configurations. « Imposez l'authentification multifacteur et l'accès conditionnel, révoquez l'accès public et auditez les plugins tiers », conseille Abbasi.

Plus généralement, pour se protéger contre les attaques de type SharePoint, les organisations doivent mettre en œuvre une architecture Zero Trust qui vérifie chaque requête, même celles provenant de systèmes internes « de confiance », conseille Perfettibile. « C'est important, car les attaquants ont utilisé des outils légitimes et des clés cryptographiques volées pour maintenir la persistance après la compromission initiale. »

La segmentation des données critiques est « essentielle », ajoute-t-il. « Isolez les plateformes de collaboration des systèmes métier centraux, appliquez l'accès au moindre privilège par défaut plutôt que le partage ouvert, et assurez-vous qu'une faille sur une plateforme ne puisse pas se propager à l'ensemble de votre infrastructure. »

Des cadres tels que ISO 27001 Cette aide à évaluer votre risque individuel peut également réduire le risque d’être victime de vulnérabilités telles que la faille SharePoint.

Dans ce cadre, des exercices de simulation réguliers simulant des failles de sécurité sur les plateformes collaboratives sont utiles pour révéler les angles morts. « Testez la capacité de votre équipe à détecter les clés d'authentification volées, à identifier les mouvements latéraux entre les plateformes et à mettre en œuvre des mesures de confinement lorsque les correctifs eux-mêmes ont été contournés », explique Perfettibile.

Parallèlement, les entreprises peuvent évaluer les risques liés à leur chaîne d'approvisionnement Microsoft en comprenant qu'elles sont vulnérables aux violations multi-locataires affectant d'autres organisations, explique Perfettibile. « Microsoft contrôle vos clés de chiffrement, vous rendant ainsi vulnérable aux assignations à comparaître aveugles, et les plugins SharePoint tiers créent des vecteurs d'attaque supplémentaires. »