Michael Sikorski, CTO et responsable du renseignement sur les menaces pour l'Unit 42 chez Palo Alto Networks partage ses recommandations
Attaque Microsoft SharePoint, analyse et recommandations
Unit 42 suit actuellement une campagne de cybermenace de grande ampleur visant les serveurs Microsoft SharePoint on-premise (sur site). Bien que les environnements cloud ne soient pas affectés, les déploiements SharePoint sur site — en particulier dans les administrations, les établissements scolaires, les organismes de santé (y compris les hôpitaux) et les grandes entreprises — sont exposés à un risque immédiat. Nous travaillons en étroite collaboration avec le MSRC (Microsoft Security Response Center) pour garantir que nos clients disposent des dernières informations. Nous informons activement les clients concernés ainsi que d’autres organisations.
Les attaquants contournent les contrôles d’identité, y compris l’authentification multifacteur (MFA) et l’authentification unique (SSO), pour obtenir des accès privilégiés. Une fois à l’intérieur, ils exfiltrent des données sensibles, installent des portes dérobées persistantes et volent des clés cryptographiques. Les attaquants exploitent cette vulnérabilité pour s’introduire dans les systèmes et ont déjà commencé à y établir leur présence. Si votre instance SharePoint on-prem est exposée à Internet, il faut partir du principe qu’elle est déjà compromise. L’application d’un correctif à elle seule ne suffit pas à éliminer totalement la menace.
Ce qui rend cette situation particulièrement préoccupante, c’est l’intégration profonde de SharePoint avec l’écosystème Microsoft, notamment les services comme Office, Teams, OneDrive et Outlook, qui concentrent des informations précieuses pour les attaquants. Une compromission ne reste pas isolée : elle ouvre potentiellement l’accès à l’ensemble du réseau.
Il s’agit d’une menace de grande gravité et d’une extrême urgence. Nous appelons toutes les organisations exploitant SharePoint on-premise à agir immédiatement :
- Appliquer tous les correctifs disponibles sans attendre et dès leur publication
- Remplacer toutes les clés cryptographiques
- Faire appel à des experts en réponse à incident
Une mesure immédiate et provisoire consisterait à déconnecter l’instance SharePoint d’Internet jusqu’à ce qu’un correctif soit disponible. Une fausse impression de sécurité pourrait entraîner une exposition prolongée et une compromission à grande échelle.
Source : Threat brief de l’Unit 42
Téléchargez cette ressource
État des lieux de la sécurité cloud-native
L’État des lieux de la sécurité cloud-native vous offre une analyse complète des problématiques, des tendances et des priorités qui sous-tendent les pratiques de sécurité cloud-native dans le monde entier. Une lecture indispensable pour renforcer votre stratégie de sécurité dans le cloud. Une mine d’infos exclusives pour élaborer votre stratégie de sécurité cloud-native.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- La France à l’avant-garde de la conteneurisation et de l’IA générative
- La souveraineté numérique pour renforcer la cybersécurité
- Perspectives IA, Cybersécurité et STaaS en 2025
- Impact des outils d’IA sur la satisfaction, le niveau de stress et le bien-être !
- La portabilité des données, un élément essentiel pour soutenir l’émergence des clouds souverains
