Le 18 juillet 2025, les analystes de Sophos MDR (Managed Detection and Response) ont observé un pic d’activités malveillantes ciblant les instances SharePoint sur-site (on-premises), notamment des commandes PowerShell malveillantes exécutées au niveau de plusieurs environnements. Une analyse supplémentaire a déterminé que ces événements était probablement le résultat d’un déploiement actif et malveillant d’un exploit exploitant “ToolShell“.
Nous mettrons à jour cet article au fur et à mesure de l’évolution des événements et de notre compréhension globale de la situation, notamment en vous donnant des conseils sur les menaces et la détection.
Mise à jour / 22-07-2025 – 21:48 UTC : Confirmation de l’exploitation la plus précoce le 17 juillet 2025.
Mise à jour / 22-07-2025 – 16:23 UTC : Informations sur la première exploitation connue (“Ce que nous avons vu”) et détails/clarifications supplémentaires sur l’activité d’attaque ; détails supplémentaires sur les protections (“Actions à mener”) et la publication d’une preuve de concept publique (“Quelle est la prochaine étape ?”).
ToolShell fait collectivement référence à l’exploitation en chaîne de deux vulnérabilités SharePoint, CVE-2025-49704 et CVE-2025-49706. L’exploit ToolShell a été dévoilé lors de l’événement Pwn2Own à Berlin en mai 2025, et Microsoft a publié des correctifs pour ces deux vulnérabilités dans son Patch Tuesday de juillet dernier.
Cependant, les acteurs malveillants utilisent en fait ToolShell pour exploiter une nouvelle vulnérabilité zero-day, ce qui conduit à la publication de deux nouvelles CVE : CVE-2025-53770 et CVE-2025-53771.
Sophos MDR a contacté toutes les victimes connues, mais ces vulnérabilités étant activement exploitées, nous invitons donc les utilisateurs à installer les correctifs correspondants aux serveurs SharePoint sur-site/on-premises (selon Microsoft, SharePoint Online dans Microsoft 365 n’est pas affecté), et ce dès que possible.
Ce que nous avons vu
Les commandes PowerShell malveillantes observées par Sophos MDR distribuent un fichier aspx malveillant au niveau des chemins suivants sur un serveur SharePoint impacté :
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx C:\progra~1\common~1\micros~1\webser~1\16\template\layouts\info3.aspx
Dans les cas récemment observés par Sophos, un webshell a été utilisé pour cibler les clés cryptographiques des machines et détecté sous le nom Troj/WebShel-P lors de l’écriture sur le disque. Une fois acquises, ces clés peuvent être utilisées par un outil appelé SharpViewStateShell pour l’exécution de code à distance. Le webshell info3.aspx fournit des fonctionnalités directes traditionnelles, telles que l’exécution de commandes à distance et les téléchargements de fichiers.
À partir du 21 juillet, nous avons également observé les variantes spinstallp.aspx et spinstallb.aspx, qui utilisent une clé XOR hardcodée comme mot de passe pour exécuter des commandes PowerShell codées en Base64 à partir d’un champ de formulaire de requête. Nous nous attendons à ce que des outils et des techniques supplémentaires soient utilisés, à mesure que de nouveaux acteurs malveillants tentent de tirer parti de cette vulnérabilité.
Dans certains cas, lorsque les webshells des acteurs malveillants ne sont pas détectés et qu’ils ont tenté d’accéder aux clés de la machine (ValidationKey et DecryptionKey), la protection Sophos Access_3b est déclenchée en tant que couche de contrôle comportemental additionnelle. Dans le cas où les clés de la machine sont compromises, il sera nécessaire de faire tourner ces clés en suivant les instructions fournies par Microsoft.
Alors que la télémétrie indique que l’exploitation en masse a commencé à se produire le 18 juillet 2025, correspondant probablement à des tentatives d’exploitation automatisées, les experts en menaces de Sophos ont noté une activité d’attaque antérieure contre un client basé au Moyen-Orient, le 17 juillet à 08h19 UTC. L’activité que nous avons observée indiquait qu’un acteur malveillant exécutait des commandes de détection sur un serveur exploité, que notre protection comportementale a bloqué.
La commande exécutée était :
cmd.exe /c whoami > c:\progra~1\common~1\micros~1\webser~1\16\template\layouts\a.txt
Cela correspond aux rapports de SentinelOne (même commande et même dossier, bien qu’affichant un nom de fichier différent). Une analyse supplémentaire a révélé une commande POST malveillante associée, ayant bien fonctionné, et ciblant l’URL suivante sur le serveur SharePoint de l’organisation : /_layouts/15/ToolPane.aspx.
Plus largement, à ce jour, Sophos a observé que 84 organisations clientes uniques étaient ciblées, dans 21 pays et dans chaque région géographique. Les secteurs concernés sont également largement répartis, les concentrations les plus fortes se situant respectivement dans les secteurs de l’éducation, de l’administration publique, des services et des transports.
Actions à mener
Il est conseillé aux clients exécutant des instances SharePoint sur-site (on-premises) d’installer les correctifs officiels de Microsoft et de suivre les recommandations fournies pour la mitigation. Les utilisateurs qui ne peuvent pas installer de correctifs, pour une raison ou une autre, devraient envisager de mettre temporairement les instances hors ligne.
Les correctifs pour SharePoint Enterprise Server 2016 et SharePoint Server 2019 sont désormais disponibles depuis le 21 juillet.
De plus, nous recommandons aux utilisateurs de vérifier l’existence des fichiers mentionnés ci-dessus et, s’ils sont présents, de les supprimer. Les utilisateurs doivent être informés qu’il peut y avoir des variantes que Sophos n’a pas encore observées ; cette liste ne doit donc pas être considérée comme exhaustive.
Sophos propose les protections suivantes :
- Access_3b : une règle comportementale qui protège contre les attaques exploitant les serveurs publics.
- Persist_26c : une règle comportementale qui protège contre l’exécution de lolbin via des webshells écrits sur le disque.
- Troj/WebShel- P : protège contre les webshells ASP courants déployés dans les attaques contre les installations SharePoint vulnérables.
- Troj/ASPDmp-A : protège contre les ASP qui extraient et récupèrent les clés de la machine.
- AMSI/ASPDmp-A : dans le cadre de la protection AMSI, AMSI/ASPDmp-A bloque les tentatives de distribution de fichiers aspx malveillants.
Quelle est la prochaine étape ?
Sophos MDR continuera de surveiller activement les signes d’activité post-exploitation liés à cette vulnérabilité. Il convient de noter qu’il existe désormais un exploit de preuve de concept (proof-of-concept) publique, nous pourrions donc voir de nouvelles variantes de cette attaque dans les jours et les semaines à venir. Nous publierons des mises à jour sur cette page au fur et à mesure que de nouvelles informations pertinentes seront disponibles.
Billet inspiré de SharePoint ‘ToolShell’ vulnerabilities being exploited in the wild, sur le Blog Sophos.
