Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft SharePoint Enterprise Server 2010 toutes versions
- Microsoft SharePoint Enterprise Server 2013 toutes versions
- Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5513.1001
- Microsoft SharePoint Server 2019 versions antérieures à 16.0.10417.20037
- Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.18526.20508
[Mise à jour du 23 juillet 2025]
L'éditeur annonce que SharePoint Enterprise Server 2010 et SharePoint Enterprise Server 2013 ne recevront pas de correctifs de sécurité. Le CERT-FR recommande aux utilisateurs de migrer vers un produit disposant de mises à jours.
Résumé
[Mise à jour du 23 juillet 2025]
Le 20 juillet 2025, Microsoft a publié des correctifs pour une vulnérabilité de type limitation insuffisante d'un chemin d'accès à un répertoire restreint, aussi appelé path traversal, affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. L'éditeur indique que la vulnérabilité CVE-2025-53771 permet à un attaquant de provoquer une usurpation d'identité sur un réseau.
[Mise à jour du 22 juillet 2025]
Microsoft a publié les mises à jour cumulatives (Cumulative Update, CU) de sécurité pour SharePoint Enterprise Server 2016. L'éditeur fournit également des marqueurs de compromission à rechercher [3].
[Publication initiale]
Le 19 juillet 2025, Microsoft a publié des correctifs pour une vulnérabilité de type jour-zéro affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server Subscription Edition. L'éditeur indique que la vulnérabilité CVE-2025-53770 permet à un attaquant de provoquer une désérialisation de données non fiables entrainant une exécution de code arbitraire à distance.
Microsoft indique que la vulnérabilité CVE-2025-53770 est activement exploitée.
Pour limiter les attaques potentielles, l'éditeur a fait des recommandations [1].
Le CERT-FR recommande les actions suivantes :
-
si l'instance SharePoint est dans une version disposant d'un correctif pour cette vulnérabilité :
- appliquer les dernières mises à jour de sécurité, y compris la mise à jour de sécurité de juillet 2025 ;
- effectuer une rotation des clés de machine ASP.NET du SharePoint Server [2];
- redémarrer IIS sur tous les serveurs SharePoint.
- si ça n'est pas le cas, déconnecter ou filtrer les accès à cette instance.
L'éditeur fournit des moyens de détection et de protection pour Microsoft Defender Antivirus [1].
Recherche de compromission
[Mise à jour du 23 juillet 2025]
Dès que le correctif est appliqué ou l’instance SharePoint isolée :
- effectuer une recherche de compromission ;
- rechercher dans les journaux réseau IIS SharePoint en privilégiant la période allant du 7 juillet 2025 jusqu'à la date d'application des correctifs de sécurité.
Les caractéristiques des requêtes HTTP sont décrites ci-dessous:
| Caractéristiques HTTP | Valeur(s) à rechercher |
|---|---|
| Méthode HTTP | POST |
| URL | /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx /_layouts/16/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx |
| Referer | /_layouts/SignOut.aspx https:// <cible>/_layouts/SignOut.aspx http:// <cible>/_layouts/SignOut.aspx |
<cible> étant le nom de domaine de votre SharePoint.
Si des journaux système sont disponibles, rechercher des processus inhabituels générés par le processus IIS w3wp.exe tels que powershell.exe ou cmd.exe.
En cas de compromission, signaler l’événement auprès du CERT-FR en mettant en copie vos éventuels CSIRTs métier et consulter les fiches réflexes de compromission système [4][5].
Le CERT-FR recommande de déterminer si l’instance SharePoint n’héberge pas des secrets d’administration du système d'information.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft CVE-2025-53770 du 19 juillet 2025 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
- Bulletin de sécurité Microsoft CVE-2025-53771 du 20 juillet 2025 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53771
- [1] Conseils aux clients pour la vulnérabilité SharePoint CVE-2025-53770 https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
- [2] Amélioration de la sécurité de l'état de ASP.NET et de la gestion des clés https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/improved-asp-net-view-state-security-key-management
- [3] Prévention de l'exploitation active des vulnérabilités de SharePoint https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
- [4] Compromission système - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/
- [5] Compromission système - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/
- Avis CERT-FR CERTFR-2025-AVI-0611 du 21 juillet 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0611/
- Description de la mise à jour de sécurité pour SharePoint Enterprise Server 2016 : 8 juillet 2025 (KB5002744) https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-sharepoint-enterprise-server-2016-july-8-2025-kb5002744-9196e240-c76d-4bb0-b16c-6f7d6645a1f0
- Description de la mise à jour de sécurité pour SharePoint Server 2019 : 8 juillet 2025 (KB5002741) https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-sharepoint-server-2019-july-8-2025-kb5002741-d860f51b-fcdf-41e4-89de-9ce487c06548
- Mise à jour de sécurité pour Microsoft SharePoint Enterprise Server 2016 (KB5002760) https://www.microsoft.com/en-us/download/details.aspx?id=108288
- Mise à jour de sécurité pour Microsoft SharePoint Enterprise Server 2016 Language Pack (KB5002759) https://www.microsoft.com/en-us/download/details.aspx?id=108289
- Mise à jour de sécurité pour Microsoft SharePoint Server 2019 Core (KB5002754) https://www.microsoft.com/en-us/download/details.aspx?id=108286
- Mise à jour de sécurité pour Microsoft SharePoint Server Subscription Edition (KB5002768) https://www.microsoft.com/en-us/download/details.aspx?id=108285
- Référence CVE CVE-2025-53770 https://www.cve.org/CVERecord?id=CVE-2025-53770
- Référence CVE CVE-2025-53771 https://www.cve.org/CVERecord?id=CVE-2025-53771
