Home Technologie et scienceQue savoir sur la grille, la menace SharePoint sous exploitation de masse

Que savoir sur la grille, la menace SharePoint sous exploitation de masse

by Thomas Caron

Microsoft a corrigé la paire de vulnérabilité – CVE-2025-49706 et CVE-2025-49704 – il y a deux semaines dans le cadre de la version mensuelle de la société. Comme le monde l’a appris au cours du week-end, les patchs étaient incomplets, une lance qui a ouvert des organisations du monde entier aux nouvelles attaques.

Q: Quelles types de choses malveillantes font-elles les attaquants avec ces nouveaux exploits de la pondération?

UN: Selon de nombreuses analyses techniques, les attaquants infectent d’abord les systèmes vulnérables avec une porte dérobée basée sur une coque en ligne qui a accès à certaines des parties les plus sensibles d’un serveur SharePoint. À partir de là, le webshell extrait les jetons et autres informations d’identification qui permettent aux attaquants d’obtenir des privilèges administratifs, même lorsque les systèmes sont protégés par l’authentification multifactrice et l’authentification unique. Une fois à l’intérieur, les attaquants exfiltrent les données sensibles et déploient des délais supplémentaires qui fournissent un accès persistant pour une utilisation future.

Pour ceux qui veulent plus de détails techniques, la volée d’ouverture dans l’attaque est la publication du Web que les attaquants envoient au point de terminaison du flux d’outils. Les demandes ressemblent à ceci:

Microsoft a déclaré que ces demandes téléchargent un script malveillant nommé spinstall0.aspx, ou alternativement spinstall.aspx, spinstall1.aspx, spinstall2.aspx, etc. Le script contient des commandes pour récupérer la configuration de la machine-clé cryptée d’un serveur SharePoint et renvoyer les résultats décryptés à l’attaquant via une demande GET.

Q: Je maintiens un serveur SharePoint sur site. Que dois-je faire?

UN: En bref, déposez tout ce que vous faisiez et prenez le temps d’inspecter soigneusement votre système. La première chose à rechercher est de savoir s’il a reçu les correctifs d’urgence que Microsoft a publiés samedi. Installez le patch immédiatement si cela n’a pas déjà été fait.

Le correctif de la vulnérabilité n’est que la première étape, car les systèmes infectés par la vulnérabilité montrent peu ou pas de signes de compromis. L’étape suivante consiste à se faire passer par des journaux d’événements système à la recherche d’indicateurs de compromis. Ces indicateurs peuvent être trouvés dans de nombreux articles, notamment ceux de Microsoft et de la sécurité oculaire (aux liens ci-dessus), de l’Agence américaine de cybersécurité et de sécurité de l’information, et les sociétés de sécurité Sentinel One, Akamai, Tenable et Palo Alto Networks.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.