Attaque Microsoft SharePoint, analyse et recommandations

Unit 42 suit actuellement une campagne de cybermenace de grande ampleur visant les serveurs Microsoft SharePoint on-premise (sur site). Bien que les environnements cloud ne soient pas affectés, les déploiements SharePoint sur site — en particulier dans les administrations, les établissements scolaires, les organismes de santé (y compris les hôpitaux) et les grandes entreprises — sont exposés à un risque immédiat. Nous travaillons en étroite collaboration avec le MSRC (Microsoft Security Response Center) pour garantir que nos clients disposent des dernières informations. Nous informons activement les clients concernés ainsi que d’autres organisations.

MFA et SSO

Les attaquants contournent les contrôles d’identité, y compris l’authentification multifacteur (MFA) et l’authentification unique (SSO), pour obtenir des accès privilégiés. Une fois à l’intérieur, ils exfiltrent des données sensibles, installent des portes dérobées persistantes et volent des clés cryptographiques. Les attaquants exploitent cette vulnérabilité pour s’introduire dans les systèmes et ont déjà commencé à y établir leur présence. Si votre instance SharePoint on-prem est exposée à Internet, il faut partir du principe qu’elle est déjà compromise. L’application d’un correctif à elle seule ne suffit pas à éliminer totalement la menace.

Ce qui rend cette situation particulièrement préoccupante, c’est l’intégration profonde de SharePoint avec l’écosystème Microsoft, notamment les services comme Office, Teams, OneDrive et Outlook, qui concentrent des informations précieuses pour les attaquants. Une compromission ne reste pas isolée : elle ouvre potentiellement l’accès à l’ensemble du réseau.

Les actions à mettre en place

Il s’agit d’une menace de grande gravité et d’une extrême urgence. Nous appelons toutes les organisations exploitant SharePoint on-premise à agir immédiatement : 

• Appliquer tous les correctifs disponibles sans attendre et dès leur publication
• Remplacer toutes les clés cryptographiques
• Faire appel à des experts en réponse à incident

Une mesure immédiate et provisoire consisterait à déconnecter l’instance SharePoint d’Internet jusqu’à ce qu’un correctif soit disponible. Une fausse impression de sécurité pourrait entraîner une exposition prolongée et une compromission à grande échelle. 

Source : Threat brief de l’Unit 42