L’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky a découvert que les vulnérabilités ToolShell récemment exploitées dans Microsoft SharePoint provenaient d’une correction incomplète de CVE-2020-1147, signalée pour la première fois en 2020.
Les vulnérabilités de SharePoint sont devenues cette année une menace majeure en matière de cybersécurité, en raison d’une exploitation active. Le Kaspersky Security Network a signalé des tentatives d’exploitation dans le monde entier, notamment en Égypte, en Jordanie, en Russie, au Vietnam et en Zambie. Les attaques visent des organisations dans les secteurs gouvernemental, financier, manufacturier, forestier et agricole. Les solutions Kaspersky ont détecté et bloqué de manière proactive les attaques ToolShell avant même que les vulnérabilités ne soient rendues publiques.
Les chercheurs du GReAT ont analysé l’exploit ToolShell publié et ont constaté qu’il était étonnamment similaire à l’exploit CVE-2020-1147 de 2020. Cela semble indiquer que le correctif CVE-2025-53770 constitue en réalité une solution efficace pour la vulnérabilité que CVE-2020-1147 tentait de corriger il y a cinq ans.
Le lien avec CVE-2020-1147 est devenu évident après la découverte des failles CVE-2025-49704 et CVE-2025-49706, corrigées le 8 juillet. Cependant, ces correctifs pouvaient être contournés en ajoutant simplement une barre oblique supplémentaire (« / ») dans la charge utile de l’exploit. Une fois que Microsoft a été informé de l’exploitation active de ces vulnérabilités, l’entreprise a réagi avec des correctifs plus complets, prenant en compte les méthodes potentielles de contournement, et a désigné les vulnérabilités sous les références CVE-2025-53770 et CVE-2025-53771. La recrudescence des attaques contre les serveurs SharePoint à l’échelle mondiale s’est produite durant la période entre l’exploitation initiale et le déploiement complet des correctifs.
Bien que des correctifs soient désormais disponibles pour les vulnérabilités ToolShell, Kaspersky s’attend à ce que les attaquants continuent d’exploiter cette chaîne pendant encore plusieurs années.
« De nombreuses vulnérabilités majeures continuent d’être activement exploitées des années après leur découverte. ProxyLogon, PrintNightmare et EternalBlue compromettent encore aujourd’hui des systèmes non corrigés. Nous nous attendons à ce que ToolShell suive le même schéma : sa facilité d’exploitation signifie que l’exploit public apparaîtra bientôt dans les outils populaires de test d’intrusion, ce qui en garantira l’utilisation prolongée par les attaquants », a déclaré Boris Larin, chercheur principal en sécurité au GReAT de Kaspersky.
Le rapport complet est disponible sur Securelist.com
