Michael Sikorski, CTO et responsable du renseignement sur les menaces pour l'Unit 42 chez Palo Alto Networks partage ses recommandations
Attaque Microsoft SharePoint, analyse et recommandations
Unit 42 suit actuellement une campagne de cybermenace de grande ampleur visant les serveurs Microsoft SharePoint on-premise (sur site). Bien que les environnements cloud ne soient pas affectés, les déploiements SharePoint sur site — en particulier dans les administrations, les établissements scolaires, les organismes de santé (y compris les hôpitaux) et les grandes entreprises — sont exposés à un risque immédiat. Nous travaillons en étroite collaboration avec le MSRC (Microsoft Security Response Center) pour garantir que nos clients disposent des dernières informations. Nous informons activement les clients concernés ainsi que d’autres organisations.
MFA et SSO
Les attaquants contournent les contrôles d’identité, y compris l’authentification multifacteur (MFA) et l’authentification unique (SSO), pour obtenir des accès privilégiés. Une fois à l’intérieur, ils exfiltrent des données sensibles, installent des portes dérobées persistantes et volent des clés cryptographiques. Les attaquants exploitent cette vulnérabilité pour s’introduire dans les systèmes et ont déjà commencé à y établir leur présence. Si votre instance SharePoint on-prem est exposée à Internet, il faut partir du principe qu’elle est déjà compromise. L’application d’un correctif à elle seule ne suffit pas à éliminer totalement la menace.
Ce qui rend cette situation particulièrement préoccupante, c’est l’intégration profonde de SharePoint avec l’écosystème Microsoft, notamment les services comme Office, Teams, OneDrive et Outlook, qui concentrent des informations précieuses pour les attaquants. Une compromission ne reste pas isolée : elle ouvre potentiellement l’accès à l’ensemble du réseau.
Les actions à mettre en place
Il s’agit d’une menace de grande gravité et d’une extrême urgence. Nous appelons toutes les organisations exploitant SharePoint on-premise à agir immédiatement :
- Appliquer tous les correctifs disponibles sans attendre et dès leur publication
- Remplacer toutes les clés cryptographiques
- Faire appel à des experts en réponse à incident
Une mesure immédiate et provisoire consisterait à déconnecter l’instance SharePoint d’Internet jusqu’à ce qu’un correctif soit disponible. Une fausse impression de sécurité pourrait entraîner une exposition prolongée et une compromission à grande échelle.
Source : Threat brief de l’Unit 42
Téléchargez cette ressource
Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
