Microsoft DART neutralise deux attaques sophistiquées visant le retail via failles SharePoint
Source: Microsoft Security Blog â Microsoft dĂ©crit lâintervention de son Ă©quipe DART pour contenir deux cyberattaques sophistiquĂ©es ciblant des organisations du secteur retail.
Les assaillants ont exploitĂ© des vulnĂ©rabilitĂ©s SharePoint (CVE-2025-49706, CVE-2025-49704) pour dĂ©poser des web shells ASPX, conduisant Ă de la spoofing dâidentitĂ© et de lâinjection de code Ă distance. Lâobjectif opĂ©rationnel incluait la prise de contrĂŽle dâidentitĂ©s et la persistance dans lâenvironnement cible. â ïž
Pour maintenir la prĂ©sence malveillante, les acteurs ont utilisĂ© Azure Virtual Desktop, RDP, PsExec et des outils de proxy/tunneling comme Teleport et Rsocx, signe dâun enchaĂźnement TTPs visant mobilitĂ© latĂ©rale et Ă©vasion. đ§
ChaĂźne « ToolShell » : exploitation active de SharePoint onâprem pour contournement dâauthentification et RCE par des acteurs chinois
Selon Trustwave SpiderLabs, une campagne baptisĂ©e « ToolShell » cible massivement des serveurs Microsoft SharePoint onâpremises via une chaĂźne de quatre vulnĂ©rabilitĂ©s, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement dâauthentification puis une exĂ©cution de code Ă distance (RCE). Des acteurs Ă©tatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accĂšs persistant. đš
Le point dâentrĂ©e consiste Ă exploiter CVE-2025-49706 au moyen de requĂȘtes POST spĂ©cialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinĂ©es Ă des enâtĂȘtes Referer manipulĂ©s pour bypasser lâauthentification. Les attaquants dĂ©ploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin dâextraire des clĂ©s cryptographiques SharePoint.
Disrupting active exploitation of on-premises SharePoint vulnerabilities | Microsoft Security Blog
Microsoft has observed two named Chinese nation-state actors, Linen Typhoon and Violet Typhoon, exploiting vulnerabilities targeting internet-facing SharePoint servers. In addition, we have observed another China-based threat actor, tracked as Storm-2603, exploiting these vulnerabilities. Microsoft has released new comprehensive security updates for all supported versions of SharePoint Server (Subscription Edition, 2019, and 2016) that protect customers against these new vulnerabilities. Customers should apply these updates immediately to ensure they are protected.
ToolShell: Critical SharePoint Zero-Day Exploited in the Wild
Symantec products already block CVE-2025-53770 exploit attempts.
CyberVeille.ch
The Threat Codex