Microsoft a émis des correctifs de sécurité urgents pour deux vulnérabilités zéro-jours, CVE-2025-53770 et CVE-2025-53771, affectant Microsoft SharePoint. Ces défauts ont été activement exploités dans des attaques de «tracas» à l’échelle mondiale, ce qui a un impact sur 54 organisations.
Les vulnérabilités ont émergé après que les acteurs de la menace ont contourné les correctifs publiés lors des mises à jour du patch de juillet. Ces mises à jour initiales étaient destinées à aborder une chaîne de vulnérabilité zéro-jour «de la paquet» qui a permis l’exécution du code distant dans Microsoft SharePoint, démontré pour la première fois au concours PWN2OWN à Berlin en mai.
Microsoft a rapidement publié des mises à jour hors bande pour Microsoft SharePoint Abonnement Edition et SharePoint 2019 pour atténuer CVE-2025-53770 et CVE-2025-53771. La société a confirmé que ces nouvelles mises à jour offrent des «protections plus robustes» par rapport aux correctifs précédents pour CVE-2025-49704 et CVE-2025-49706, respectivement. Une mise à jour de Microsoft SharePoint Enterprise Server 2016 est toujours en attente.
Les administrateurs SharePoint sont fortement invités à installer ces mises à jour critiques immédiatement: KB5002754 pour Microsoft SharePoint Server 2019 et KB5002768 pour l’édition d’abonnement Microsoft SharePoint.
Au-delà de l’application des correctifs, Microsoft exhorte les administrateurs à faire pivoter leurs clés de machine SharePoint. Cela peut être fait manuellement via PowerShell en utilisant le Update-SPMachineKey Cmdlet ou via l’administrateur central en déclenchant le travail de minuterie de «rotation de la clé de la machine». Après rotation, une réinitialisation IIS (iisreset.exe) Sur tous les serveurs SharePoint est recommandé.
Les administrateurs devraient également effectuer une analyse approfondie de leurs journaux et systèmes de fichiers pour des signes de compromis ou de tentatives d’exploitation. Les indicateurs clés incluent la création du fichier C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxet iis journaux montrant une demande de poste à _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx avec un référent HTTP de _layouts/SignOut.aspx.
Microsoft a fourni une requête de défenseur Microsoft 365 pour aider à détecter la présence du spinstall0.aspx déposer:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Si ce fichier est trouvé, une enquête complète sur le serveur et le réseau affectées est crucial pour garantir que les acteurs de la menace n’ont pas élargi leur accès à d’autres appareils.
