La CVE-2025-53770 concerne une vulnérabilité critique liée à la désérialisation de données non fiables dans Microsoft SharePoint Server on-premises. SharePoint est une plateforme de collaboration largement utilisée qui permet aux organisations de partager et de gérer des contenus, des connaissances et des applications. Compte tenu de son rôle central dans la gestion des informations et de son utilisation typique au sein des réseaux d’entreprise, une vulnérabilité grave telle que la désérialisation de données non fiables peut avoir des implications de sécurité significatives.

Produit	Microsoft SharePoint
Date	25/07/2025 10:46:00

Résumé technique

Détails :
Cette vulnérabilité découle de la manière dont Microsoft SharePoint Server on-premises gère la désérialisation de données non fiables. La désérialisation est le processus par lequel un flux d’octets est converti en un objet en mémoire. Lorsqu’une application désérialise des données provenant d’une source non approuvée sans validation ou assainissement adéquat, un attaquant peut créer des données sérialisées malveillantes qui, une fois désérialisées, exécutent du code arbitraire ou effectuent des actions indésirables sur le serveur.
Le problème principal réside dans l’incapacité de l’application à :

• Valider l’intégrité/l’origine des données : Le serveur accepte et traite des données sérialisées sans vérifier adéquatement leur provenance ou s’assurer qu’elles n’ont pas été altérées.
• Configurer de manière sécurisée la désérialisation : Le processus de désérialisation peut ne pas être configuré de manière sécurisée, permettant l’exploitation de « gadget chains » (séquences de code légitime pouvant être enchaînées pour accomplir des actions malveillantes).

Vecteur d’attaque :
Un attaquant pourrait envoyer des données sérialisées malveillantes spécialement conçues vers un point de terminaison vulnérable au sein de SharePoint. Cela pourrait se produire via différents vecteurs d’entrée, notamment :

• Points de terminaison API : En exploitant des API exposées qui traitent des données sérialisées.
• Paramètres de requête : En injectant des objets sérialisés malveillants dans les paramètres ou les en-têtes des requêtes HTTP.
• Téléchargement de fichiers : En dissimulant des données sérialisées malveillantes dans des fichiers apparemment légitimes qui sont ensuite traités par le serveur.

La vulnérabilité est particulièrement dangereuse car le processus de désérialisation s’effectue souvent dans le contexte de l’application, qui opère normalement avec des privilèges élevés sur le serveur.

Impact :
L’impact principal d’une attaque réussie par désérialisation de données non fiables est l’obtention d’une exécution de code à distance (RCE). Un attaquant peut obtenir le contrôle direct du serveur SharePoint. Les conséquences peuvent inclure :

• Compromission complète du serveur : Obtention de privilèges de niveau SYSTEM ou équivalents sur le serveur SharePoint, permettant à l’attaquant d’installer des programmes, de visualiser, modifier ou supprimer des données, ou de créer de nouveaux comptes avec des droits complets.
• Violation de données : Accès et exfiltration d’informations sensibles stockées au sein de SharePoint.
• Mouvement latéral : Utilisation du serveur SharePoint compromis comme point d’ancrage pour accéder à d’autres systèmes et ressources du réseau d’entreprise.
• Interruptions opérationnelles : Interruption des services SharePoint, entraînant l’arrêt des fonctions critiques de collaboration et de gestion de contenu.
• Défiguration de sites web : Modification des sites SharePoint pour afficher des contenus malveillants ou indésirables.

Recommandations

• Appliquer immédiatement les correctifs : Accorder la priorité absolue à l’installation de toutes les mises à jour de sécurité et correctifs disponibles auprès de Microsoft pour les installations de SharePoint Server on-premises. Ces correctifs sont essentiels pour résoudre la CVE-2025-53770 et d’autres vulnérabilités potentielles.
• Appliquer le principe du moindre privilège : S’assurer que les comptes de service et les pools d’applications de SharePoint fonctionnent avec les privilèges minimaux indispensables sur le serveur et le système de fichiers.
• Segmentation du réseau : Isoler les serveurs SharePoint dans un segment de réseau dédié et restreint. Limiter l’accès réseau uniquement à ce qui est strictement nécessaire pour les utilisateurs et les applications légitimes.

[Callforaction-THREAT-Footer]