Microsoft publie des correctifs urgents pour des failles exploitées

Des vulnérabilités critiques dans Microsoft SharePoint sont exploitées depuis au moins le 18 juillet. Cinquante-quatre entreprises ont déjà été compromises et plus de 8 000 serveurs sont vulnérables.

En mai dernier, les chercheurs de Viettel Cyber Security avaient détecté deux vulnérabilités ToolShell dans SharePoint permettant l’exécution de code à distance. Microsoft les avait corrigées dans le Patch Tuesday de juillet. Problème : il semble que les acteurs malveillants soient parvenus à contourner les correctifs.

Informé d’attaques en cours chez des clients SharePoint, sur les serveurs SharePoint On-Premise, Microsoft a publié des mises à jour de sécurité urgentes pour corriger deux failles critiques activement exploitées, qui menacent les utilisateurs de SharePoint Server 2016, 2019 et Subscription Edition. SharePoint Online et Microsoft 365 ne sont pas impactés, a précisé la firme.

« Les attaquants utilisent la désérialisation pour voler les clés http://ASP.NET du serveur (ValidationKey & DecryptionKey). Avec celles-ci, ils créent de faux objets ViewState signés, exécutent du code, se maintiennent sur le serveur et se latéralisent – sans laisser de traces évidentes… L’accès à votre serveur ne requiert aucune authentification, ce qui complexifie la détection et la réponse », a indiqué Clément Domingo (alias SaxX) sur X.

54 entreprises compromises

« Les premières victimes touchent massivement l’Europe, mais le phénomène est global et s’amplifie d’heure en heure », a prévenu SaxX. Quatre-vingt-cinq serveurs auraient déjà été compromis dans le monde, et 54 organisations ont déjà été touchées selon l’entreprise de cybersécurité Eye Security, dont une université et une entreprise de l’énergie en Californie, une agence fédérale de santé, ou encore une entreprise d’intelligence artificielle. Selon des informations de SaxX, 8 000 serveurs seraient vulnérables. 

Microsoft a publié des mises à jour pour les utilisateurs de SharePoint Subscription Edition et de SharePoint 2019. La mise à jour pour SharePoint 2016 n’est pas encore disponible. En mesure de prévention, Clément Domingo invite à installer un EDR, à isoler les serveurs vulnérables du réseau, à réinitialiser les clés ASP.NET et à inspecter les fichiers suspects.