Michael Sikorski, CTO et responsable du renseignement sur les menaces pour l'Unit 42 chez Palo Alto Networks partage ses recommandations
Attaque Microsoft SharePoint, analyse et recommandations
Unit 42 suit actuellement une campagne de cybermenace de grande ampleur visant les serveurs Microsoft SharePoint on-premise (sur site). Bien que les environnements cloud ne soient pas affectés, les déploiements SharePoint sur site — en particulier dans les administrations, les établissements scolaires, les organismes de santé (y compris les hôpitaux) et les grandes entreprises — sont exposés à un risque immédiat. Nous travaillons en étroite collaboration avec le MSRC (Microsoft Security Response Center) pour garantir que nos clients disposent des dernières informations. Nous informons activement les clients concernés ainsi que d’autres organisations.
MFA et SSO
Les attaquants contournent les contrôles d’identité, y compris l’authentification multifacteur (MFA) et l’authentification unique (SSO), pour obtenir des accès privilégiés. Une fois à l’intérieur, ils exfiltrent des données sensibles, installent des portes dérobées persistantes et volent des clés cryptographiques. Les attaquants exploitent cette vulnérabilité pour s’introduire dans les systèmes et ont déjà commencé à y établir leur présence. Si votre instance SharePoint on-prem est exposée à Internet, il faut partir du principe qu’elle est déjà compromise. L’application d’un correctif à elle seule ne suffit pas à éliminer totalement la menace.
Ce qui rend cette situation particulièrement préoccupante, c’est l’intégration profonde de SharePoint avec l’écosystème Microsoft, notamment les services comme Office, Teams, OneDrive et Outlook, qui concentrent des informations précieuses pour les attaquants. Une compromission ne reste pas isolée : elle ouvre potentiellement l’accès à l’ensemble du réseau.
Les actions à mettre en place
Il s’agit d’une menace de grande gravité et d’une extrême urgence. Nous appelons toutes les organisations exploitant SharePoint on-premise à agir immédiatement :
- Appliquer tous les correctifs disponibles sans attendre et dès leur publication
- Remplacer toutes les clés cryptographiques
- Faire appel à des experts en réponse à incident
Une mesure immédiate et provisoire consisterait à déconnecter l’instance SharePoint d’Internet jusqu’à ce qu’un correctif soit disponible. Une fausse impression de sécurité pourrait entraîner une exposition prolongée et une compromission à grande échelle.
Source : Threat brief de l’Unit 42
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les banques subissent la concurrence des PayTechs plus agiles
- Retrouver la sérénité du foyer au bureau : une nouvelle priorité pour les salariés
- Cryptographie post-quantique : qu’est-ce qui freine la transition des entreprises ?
- La fragmentation technologique, un frein silencieux pour les PME
- Les entreprises prévoient d’augmenter les investissements environnementaux
