Une vulnérabilité critique dans les serveurs Microsoft SharePoint a été largement exploitée par des pirates.
Plus de 400 organisations ont déjà été touchées par une attaque par rançongiciel sur les serveurs SharePoint, y compris le Département américain de l’Énergie et l’Administration nationale de la sécurité nucléaire (NNSA), responsable de la gestion des armes nucléaires américaines.
Storm-2603 diffuse des rançongiciels via une faille SharePoint
L’entreprise de sécurité Redmond a confirmé mercredi que le groupe Storm-2603 exploite activement des vulnérabilités récemment corrigées dans SharePoint. Le groupe installe des rançongiciels après avoir obtenu l’accès via les vulnérabilités CVE-2025-49704 (exécution de code à distance) et CVE-2025-49706 (usurpation d’identité).
lire aussi
Une attaque par rançongiciel affecte plus de 400 serveurs SharePoint
Storm-2603 exécute ensuite des commandes système « telles que whoami, désactive Microsoft Defender en modifiant le registre, et installe des mécanismes de persistance via des webshells et des assemblies .NET. Cela permet le vol de mots de passe et les mouvements latéraux au sein du réseau. Le rançongiciel est finalement déployé via des objets de stratégie de groupe (GPO » s) personnalisés.
La vulnérabilité touche des secteurs critiques
Les vulnérabilités affectent SharePoint Enterprise Server 2016, Server 2019 et la Subscription Edition. Microsoft a publié des correctifs lundi après que les exploits ont été rendus publics plus tôt ce week-end. Selon la société de sécurité Eye Security, les attaques ont débuté le 17 juillet et se sont déroulées en plusieurs vagues.
lire aussi
Microsoft accuse des pirates chinois d’exploiter une faille SharePoint
Check Point Research rapporte que d’autres gouvernements, entreprises de télécommunications et fournisseurs de logiciels ont également été touchés. Microsoft affirme qu’outre Storm-2603, deux groupes étatiques chinois sont responsables : Linen Typhoon (APT27) et Violet Typhoon (APT31). Bien que Storm-2603 soit prétendument chinois, il n’est pas lié à l’État chinois.
Exploits disponibles en ligne
Enfin, Microsoft avertit que plusieurs exploits de démonstration sont disponibles, y compris de nouveaux bugs (CVE-2025-53770 et CVE-2025-53771) qui peuvent être exploités en combinaison avec les failles précédemment découvertes. Selon Microsoft, les entreprises qui n’ont pas encore appliqué les mises à jour de sécurité courent un risque sérieux. « D’autres acteurs continueront à utiliser ces exploits pour attaquer les serveurs SharePoint non protégés, » déclare Redmond dans The Register.