Numéro de série : AL25-009
Date : 20 juillet 2025
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 19 juillet, Microsoft a publié un guide client sur une vulnérabilité critique CVE-2025-53770 de SharePoint qui semble affecter toutes les versions de SharePoint Server sur site suivantsNote de bas de page 1. SharePoint Online dans Microsoft 365 n’est pas touché.
Le Centre pour la cybersécurité est au courant de l’exploitation active au Canada. CVE-2025-53770 implique la désérialisation de données non fiables dans des serveurs Microsoft SharePoint sur site, permettant à un attaquant non autorisé d’exécuter du code sur un réseau.
Aucun correctif n’est actuellement disponible pour cette vulnérabilité. Microsoft travaille à la publication d’une mise à jour de sécurité.
Mesures recommandées
Mise à jour 1
Le Centre pour la cybersécurité recommande les mesures supplémentaires suivantes pour réduire les risques associés à l’activité d’exploitation Note de bas de page 3 :
- Vérifier la présence du fichier suivant : C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx SHA256 : 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
- Surveillez les journaux de IIS pour des requêtes POST au chemin suivant /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx avec un champ en-tête Referer de : /_layouts/SignOut.aspx
- Vérifier les journaux réseau pour les tentatives d’analyse ou d’exploitation provenant des adresses IP 107.191.58[.]76, 104.238.159[.]149 et 96.9.125[.]147, particulièrement depuis le 17 juillet 2025.
- Vérifiez la présence de fichiers qui pourraient indiquer une compromission Note de bas de page 4 :
- SHA256 : 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
- SHA256 : b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
- SHA256 : fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
Si l’un de ces indicateurs est trouvé, les administrateurs devraient mettre le serveur hors ligne immédiatement et enquêter sur les mouvements latéraux.
Veuillez également noter que l’intégration AMSI a été activée par défaut dans la mise à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 et la mise à jour des fonctionnalités de la version 23H2 pour SharePoint Server Subscription Edition. Note de bas de page 5
Fin de la mise à jour 1
Le Centre pour la cybersécurité recommande fortement aux organisations de suivre les mesures d’atténuation et les recommandations de Microsoft :
- Activez l’intégration de l’interface d’analyse anti-programme malveillant (AMSI) dans SharePoint Server.
- Déployez Microsoft Defender Antivirus sur tous les serveurs SharePoint.
- Débranchez le serveur d’Internet si l’AMSI ne peut pas être activé.
- Déployez Defender pour point de terminaison pour détecter et bloquer l’activité post-exploit.
- Suivez les mesures d’atténuation et les détections de Microsoft et surveillez continuellement les correctifs publiés.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre ses 10 meilleures mesures de sécurité des TI Note de bas de page 2 .
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, on les invite à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.