ToolShell : l’alerte critique autour des vulnérabilités SharePoint CVE-2025-53770 & CVE-2025-53771
Publié le 02/09/2025
Un nouvel épisode dans la série des attaques sur SharePoint
Depuis juillet 2025, deux vulnérabilités critiques affectant Microsoft SharePoint Server (CVE-2025-53770 et CVE-2025-53771) sont activement exploitées. Déjà surnommées ToolShell par la communauté, elles illustrent à quel point les environnements collaboratifs restent une cible de choix pour les attaquants.
Détails techniques : ce que révèlent les CVE
CVE-2025-53770 (RCE) : permet l’exécution de code arbitraire à distance via un défaut de validation des entrées dans certains services SharePoint. Gravité : 9.8 (CVSS v3.1).
CVE-2025-53771 (Privilege Escalation) : exploitable après compromission initiale, elle permet une élévation de privilèges jusqu’à l’administrateur du serveur SharePoint. Gravité : 8.8 (CVSS v3.1).
La chaîne d’attaque classique suit ce schéma :
Accès initial via la faille RCE (53770),
Élévation de privilèges (53771),
Déploiement d’un web shell chiffré (d’où le nom ToolShell),
Persistance et mouvements latéraux vers d’autres systèmes connectés à SharePoint.
Ces techniques s’inscrivent dans le cadre MITRE ATT&CK :
T1190 Exploit Public-Facing Application,
T1068 Exploitation for Privilege Escalation,
T1505 Web Shell.
Pourquoi cette campagne inquiète
Ciblage large : administrations publiques, universités, opérateurs de télécommunications et secteur de l’énergie ont déjà été touchés (source).
Persistance forte : les web shells installés sont difficiles à détecter car ils exploitent des clés de chiffrement légitimes de SharePoint.
Complexité de mitigation : même après correctif, les implants déjà déployés ne disparaissent pas.
Recommandations officielles
Microsoft préconise :
Installation immédiate des correctifs publiés le 22 juillet 2025,
Rotation des clés MachineKey pour invalider les web shells existants,
Activation renforcée d’AMSI (Antimalware Scan Interface) pour intercepter les scripts malveillants,
Audit des logs IIS/SharePoint afin de repérer des anomalies post-exploitation.
Regards MSSP / SOC : où intervenir ?
Pour un SOC Hybride comme ceux proposés par BECYCURE, ces vulnérabilités sont l’occasion de rappeler l’importance d’une approche multi-couches :
SIEM (ex : QRadar, LogPoint, Splunk) : corrélation d’événements IIS, SharePoint et annuaires AD pour identifier les séquences RCE → EoP.
EDR/XDR : détection des web shells déposés et des tentatives de mouvements latéraux.
SOAR : automatisation de la réponse, par exemple la mise en quarantaine des hôtes vulnérables et la notification en temps réel des équipes IT.
ASM (Attack Surface Management) : recensement en continu des instances SharePoint exposées, souvent sous-estimées par les organisations.
CTI (Cyber Threat Intelligence) : intégration des IoCs (indicators of compromise) liés à ToolShell pour renforcer la chasse proactive.
Un équilibre entre urgence et recul
Il est tentant de voir dans ToolShell « la nouvelle vulnérabilité critique du mois », mais le contexte montre autre chose :
SharePoint avait déjà été ciblé en 2023-2024 par des campagnes similaires.
L’exploitation active prouve que les attaquants savent exploiter les délais de patching des grandes organisations.
La gravité tient autant à la nature des failles qu’à la lenteur des processus de mise à jour dans des environnements sensibles (universités, hôpitaux, collectivités).
ToolShell n’est pas seulement une faille technique : c’est un cas d’école sur l’importance de la surveillance continue et de l’intégration SOC à 360°. Les MSSP qui gèrent des environnements complexes doivent être capables de :
réagir vite (patch & mitigation),
mais aussi anticiper grâce au CTI et à l’ASM,
et orchestrer une détection post-exploit fiable, car l’attaque ne s’arrête pas avec l’application d’un correctif.
Chez BECYCURE, nous voyons dans ToolShell la confirmation que le rôle d’un SOC moderne ne se limite plus à « surveiller », mais bien à détecter, orchestrer et accompagner les organisations dans la résilience face à des campagnes sophistiquées.
Un nouvel acteur fait parler de lui sur le dark web : Evil-GPT, une intelligence artificielle malveillante vendue pour à peine 10 $. Cet outil se présente comme une alternative “sans limites” aux IA éthiques comme ChatGPT, permettant à n’importe qui de générer des malwares ou des campagnes de phishing en quelques secondes. Comment ça […]
Un nouvel épisode dans la série des attaques sur SharePoint Depuis juillet 2025, deux vulnérabilités critiques affectant Microsoft SharePoint Server (CVE-2025-53770 et CVE-2025-53771) sont activement exploitées. Déjà surnommées ToolShell par la communauté, elles illustrent à quel point les environnements collaboratifs restent une cible de choix pour les attaquants. Détails techniques : ce que révèlent les […]
Face à l'intensification des menaces cyber sur les infrastructures critiques, notamment dans le secteur de la santé, le gouvernement français a renforcé sa stratégie de défense numérique. C'est dans ce contexte que s'inscrit le programme Cybersécurité Accélération et Résilience des Établissements (CaRE), qui a franchi une étape majeure en juillet 2025 avec le lancement d'un […]
Et si votre propre intelligence artificielle devenait l’arme de votre compromission ? C’est exactement ce que révèle un incident récent impliquant Amazon. Un simple prompt dissimulé dans une extension VS Code a failli transformer un assistant IA en destructeur de données à grande échelle — sans qu’aucune ligne de code malveillant ne soit visible. Ce cas, […]
Une mutation stratégique des cyberattaques Le groupe de cybercriminels Scattered Spider, bien connu des professionnels de la cybersécurité pour ses campagnes contre les grandes entreprises américaines (casinos, télécoms, assurances), opère depuis le printemps 2025 un changement de stratégie majeur : ses attaques s’orientent désormais vers les infrastructures critiques du transport, en particulier le secteur aérien. […]
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Si vous continuez à utiliser ce site, nous supposerons que vous en êtes satisfait.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duration
Description
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
