top of page
Rechercher

ToolShell : Exploitation active d’exécution de code à distance sur Sharepoint

  • Photo du rédacteur: Loïc Castel
    Loïc Castel
  • il y a 4 jours
  • 4 min de lecture

Description de la vulnérabilité

Une faille de sécurité critique, baptisée "ToolShell" et suivie sous l'identifiant CVE-2025-53770, a été découverte dans les versions sur site (on-premise) de Microsoft SharePoint. Il s'agit d'une vulnérabilité de type exécution de code à distance (RCE) qui permet à un attaquant non authentifié de prendre le contrôle complet d'un serveur vulnérable.


Elle est considérée comme une variante de la faille CVE-2025-49704, et son exploitation est souvent couplée à une autre vulnérabilité, CVE-2025-53771 (variante de CVE-2025-49706), pour contourner les protections et exécuter du code malveillant.


⚠️ Il est important de mentionner que cette vulnérabilité a été découverte suite à son exploitation par des acteurs malveillants, ce qui la rend d’autant plus urgente à adresser puisque cela signifie que des criminels disposent de code d’exploitation depuis quelques temps.


Safercy recommande de ne pas juste "patcher" cette vulnérabilité si vous êtes affecté mais également d'entreprendre une vérification de type "threat hunting" pour valider que vos actifs n'ont pas été exploités.


Quelle version est vulnérable ?

La vulnérabilité affecte les environnements SharePoint hébergés par les entreprises elles-mêmes. Les versions concernées sont :

  • Microsoft SharePoint On-Premise sur toutes les versions n’ayant pas le correctif du 20 Juillet 2025

Important : Les clients utilisant SharePoint Online (via Microsoft 365) ne sont pas affectés par cette faille.


Comment l'exploiter ?

Le processus d'attaque se déroule en plusieurs étapes sophistiquées :

  1. Contournement de l'authentification : L'attaquant envoie une requête POST spécifiquement conçue vers la page /_layouts/15/ToolPane.aspx. En manipulant l'en-tête Referer pour qu'il contienne /_layouts/SignOut.aspx, il trompe le serveur et obtient un accès non authentifié.

  2. Déploiement d'un Web Shell : Une fois l'accès obtenu, l'attaquant dépose un fichier malveillant nommé spinstall0.aspx (ce nom peut varier en fonction de l'exploitation) dans un répertoire système de SharePoint. Ce script est une porte dérobée (web shell).

  3. Vol de clés cryptographiques : Le web shell spinstall0.aspx (ce nom peut varier en fonction de l'exploitation) est ensuite utilisé pour extraire des secrets critiques du serveur, notamment la ValidationKey ASP.NET. Cette clé est essentielle car elle sert à signer numériquement les données d'état de session (__VIEWSTATE).

  4. Exécution de code à distance : Armé de la ValidationKey, l'attaquant peut désormais utiliser des outils comme ysoserial pour forger ses propres charges utiles __VIEWSTATE, signées et donc considérées comme légitimes par le serveur. Cela lui permet d'exécuter n'importe quelle commande à distance avec les privilèges du serveur SharePoint.


Requête démontrant l'exploitation de la vulnérabilité
Requête démontrant l'exploitation de la vulnérabilité

Comment détecter la vulnérabilité ?

Microsoft a fourni des moyens de détection via ses outils de sécurité :

  • Microsoft Defender Antivirus : Détecte les composants malveillants sous les noms Exploit:Script/SuspSignoutReq.A et Trojan:Win32/HijackSharePointServer.A.

  • Via les antivirus ou EDR comme CrowdStrike: Génère des alertes de comportements anormaux

  • Microsoft Defender Vulnerability Management (MDVM) : Permet d'identifier les serveurs exposés à la CVE-2025-53770.


Les administrateurs peuvent également rechercher manuellement la présence du fichier spinstall0.aspx sur leurs serveurs.


Est-elle exploitée en ce moment ?

Oui, massivement. La CISA et Microsoft ont confirmé que la vulnérabilité CVE-2025-53770 fait l'objet d'une campagne d'exploitation "active et à grande échelle". Des dizaines de serveurs d'entreprises et d'organisations gouvernementales ont déjà été compromis.


Comment la détecter grâce aux IoC ?

Les "Indicateurs de Compromission" (IoC) sont des preuves techniques qui signalent une intrusion. Pour cette attaque, voici les IoC à surveiller :

  • Adresses IP Sources :

    • 107.191.58[.]76

    • 104.238.159[.]149

    • 96.9.125[.]147

    • 103.186.30[.]186

  • Logs IIS (journaux du serveur web) :

    • Recherchez des requêtes POST vers /layouts/15/ToolPane.aspx contenant DisplayMode=Edit.

    • Vérifiez si ces requêtes ont un en-tête Referer contenant /_layouts/SignOut.aspx.

  • Fichiers Malveillants :

    • Présence du fichier spinstall0.aspx (le nom peut varier) dans le répertoire C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\.

    • Hash (SHA256) du fichier : 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514.


Recommandations

Microsoft a publié des correctifs de sécurité le 21 juillet 2025. Les actions suivantes sont impératives :

  1. Appliquer les mises à jour de sécurité : C'est la priorité absolue. Installez les correctifs (KB5002768 pour Subscription Edition, KB5002754 pour 2019) dès que possible.

  2. Identifiez s'il y a eu une compromission : En utilisant les recommandations faites dans le chapitre "Comment détecter la vulnérabilité ?", validez ou non l'exploitation de vos actifs.

  3. Activer l'intégration AMSI : L'Antimalware Scan Interface, couplée à un antivirus comme Defender, est une défense efficace.

  4. Renouveler les clés de machine ASP.NET :  Si les clés ont été volées, l'attaquant peut conserver son accès même après l'application du correctif. Vous devez générer de nouvelles clés via PowerShell ou l'interface d'administration centrale, puis redémarrer les services IIS sur tous les serveurs.

  5. Isoler les serveurs : Si une compromission est suspectée, isolez immédiatement les serveurs du réseau pour éviter une propagation de l'attaque.

  6. Engager une réponse à incident : Si vous suspectez une compromission, activez votre plan de réponse à incident ou contactez une société spécialisée.


Conclusion

La vulnérabilité "ToolShell" (CVE-2025-53770) représente une menace grave et immédiate pour toutes les organisations qui hébergent leurs propres serveurs SharePoint. La combinaison d'une exploitation simple, de l'absence de besoin d'authentification et de l'impact élevé (prise de contrôle total) en fait une faille particulièrement dangereuse. L


'application rapide des correctifs et le renouvellement des secrets cryptographiques sont essentiels pour se protéger.


Pour détecter rapidement les failles potentielles et éviter toute exploitation, les scans de vulnérabilités Saferscan vous permettent d’identifier vos systèmes à risque en quelques minutes. Ces scans couvrent les principales vulnérabilités connues, y compris celles liées à ToolShell.


En cas de compromission ou d’incident, les équipes de réponse à incident de Safercy peuvent intervenir rapidement pour analyser l’attaque, contenir la menace et rétablir vos systèmes. Protégez vos données et réduisez les temps d’interruption en faisant appel à des experts en cybersécurité.


Pour en savoir plus sur ces services ou demander un audit, contactez Safercy dès aujourd’hui.


Sources

 
 
bottom of page