Numéro de série : AL25-009
Date : 20 juillet 2025
Mise à jour : 22 juillet 2025
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 19 juillet 2025, Microsoft a publié des conseils à l’intention de sa clientèle concernant une vulnérabilité importante liée à SharePoint (CVE-2025-53770) qui touche toutes les versions locales de SharePoint ServerNote de bas de page 1. La version SharePoint en ligne de Microsoft 365 n’est pas touchée par la vulnérabilité.
La vulnérabilité CVE-2025-53770 concerne la désérialisation des données non fiables dans des serveurs locaux de Microsoft SharePoint, ce qui permet à des attaquantes ou attaquants non autorisés d’exécuter du code sur un réseau.
Le Centre pour la cybersécurité sait que cette exploitation a actuellement lieu au Canada.
Le 21 juillet 2025, Microsoft a produit des correctifs d’urgence à appliquer aux versions de SharePoint ci-dessous :
- Microsoft SharePoint Server Édition d’abonnement
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server 2016
Indicateurs de compromission potentiels
Les indicateurs de compromission (IC) suivants ont été transmis à la collectivité de recherche en cybersécurité à titre de point de départ pour la détection d’une compromission.
- Vérifiez la présence du fichier suivant : C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
- SHA256:92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514.
- Surveillez les journaux de IIS pour trouver des requêtes POST au chemin suivant /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx with a HTTP referer of /_layouts/SignOut.aspx.
- Vérifier les journaux réseau pour trouver des tentatives d’analyse ou d’exploitation provenant des adresses IP 107.191.58[.]76, 104.238.159[.]149 et 96.9.125[.]147, particulièrement depuis le 17 juillet 2025.
- Vérifiez la présence de fichiers qui pourraient indiquer une compromission Note de bas de page 4Note de bas de page 5 :
- SHA256: 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
- SHA256: b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
- SHA256: fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
- SHA256: 27c45b8ed7b8a7e5fff473b50c24028bd028a9fe8e25e5cea2bf5e676e531014
- SHA256: 8d3d3f3a17d233bc8562765e61f7314ca7a08130ac0fb153ffd091612920b0f2
- SHA256: b336f936be13b3d01a8544ea3906193608022b40c28dd8f1f281e361c9b64e93
- SHA256: f917e0fd57784e40d9a41069f30b2b5cf83db29b52072c308ff030eaf1fcd764
Mesures recommandées
Si votre version de SharePoint Server est accessible par Internet, nous vous recommandons d’évaluer de possibles compromissions de sécurité et de penser à isoler les versions touchées jusqu’à l’application des correctifs nécessaires et à la conclusion des exercices de chasse aux menaces informatiques.
Il est recommandé de changer les secrets et les justificatifs d’identité utilisés sur les serveurs touchés, y compris les comptes de service.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de suivre les conseils d’atténuation qu’a publiés Microsoft à l’intention de sa clientèle :
- Utilisez ou mettez à jour les versions locales prises en charge de Microsoft SharePoint Server.
- Appliquez les dernières mises à jour de sécurité de Microsoft.
- Activez l’intégration de l’interface d’analyse anti-programme malveillant (AMSI) dans SharePoint Server. L’intégration d’AMSI a été activée par défaut dans la mise à jour de sécurité de septembre 2023 des versions 2016 et 2019 de SharePoint Server, et la version 23H2 comprend une mise à jour pour SharePoint Server Édition abonnement Note de bas de page 6.
- Déployez un antivirus ou un antimaliciel qui est compatible et qui fonctionne avec AMSI sur tous les serveurs de SharePoint.
- Changez les clés de machine ASP.NET de SharePoint Server et redémarrer IIS.
Veuillez noter que le Centre pour la cybersécurité a relevé des signes indiquant qu’AMSI pourrait ne pas offrir une protection complète constante contre cette forme d’exploitation, étant donné que les auteurs de menace adaptent fréquemment leurs méthodes pour échapper à la détection.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre ses 10 meilleures mesures de sécurité des TI Note de bas de page 2 .
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, on les invite à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.