{"id":148172,"date":"2025-07-31T09:16:42","date_gmt":"2025-07-31T16:16:42","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=148172"},"modified":"2025-08-04T08:15:03","modified_gmt":"2025-08-04T15:15:03","slug":"microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","title":{"rendered":"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet)"},"content":{"rendered":"<h2><a id=\"post-148172-_heading=h.57jc7rscjj8\"><\/a>Avant-propos<\/h2>\n<p><strong>Mise \u00e0 jour du 31 juillet 2025<\/strong><\/p>\n<p><span style=\"font-weight: 400;\">Une enqu\u00eate sur l'exploitation de ToolShell a r\u00e9v\u00e9l\u00e9 le d\u00e9ploiement du ransomware 4L4MD4R, une variante du ransomware open source Mauri870.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Une tentative d'exploitation infructueuse le 27 juillet 2025, impliquant une commande PowerShell encod\u00e9e, a men\u00e9 \u00e0 la d\u00e9couverte d'un <\/span><i><span style=\"font-weight: 400;\">loader<\/span><\/i><span style=\"font-weight: 400;\"> con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter le ransomware depuis <span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/ice.theinnovationfactory[.]it\/static\/4l4md4r.exe (145.239.97[.]206)<\/span>.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La commande PowerShell tentait de d\u00e9sactiver la surveillance en temps r\u00e9el et de contourner la validation des certificats. Tous les d\u00e9tails se trouvent dans la section \u00ab P\u00e9rim\u00e8tre de l'attaque \u00bb.<\/span><\/p>\n<p><b>Mise \u00e0 jour du 29 juillet 2025<\/b><\/p>\n<p><span style=\"font-weight: 400;\">La t\u00e9l\u00e9m\u00e9trie de Unit 42 a d\u00e9tect\u00e9 des tentatives d'exploitation de la vuln\u00e9rabilit\u00e9 CVE\u22122025\u221253770 entre le 17 juillet 2025, 08h40 UTC, et le 22 juillet 2025. Ces tentatives provenaient d'une activit\u00e9 malveillante suivie sous le nom de <\/span><b>CL-CRI-1040<\/b><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Des tests de vuln\u00e9rabilit\u00e9 en pr\u00e9-exploitation sur des servers SharePoint, men\u00e9s par des adresses IP associ\u00e9es \u00e0 <\/span><b>CL-CRI-1040<\/b><span style=\"font-weight: 400;\">, ont \u00e9t\u00e9 observ\u00e9s \u00e0 partir du 17 juillet 2025, 06h58 UTC. Les sch\u00e9mas des tentatives d'exploitation indiquent l'utilisation d'une liste de ciblage statique de servers SharePoint.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L'une des adresses IP exploitant la CVE\u22122025\u221253770 dans le cadre de l'activit\u00e9 <\/span><b>CL-CRI-1040<\/b><span style=\"font-weight: 400;\"> est \u00e9galement associ\u00e9e au cluster <\/span><b>Storm-2603<\/b><span style=\"font-weight: 400;\"><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\"> mentionn\u00e9 par Microsoft<\/a>. Nous analysons actuellement ce cluster pour obtenir plus d'informations sur les acteurs impliqu\u00e9s.<\/span><\/p>\n<p>Unit 42 suit de pr\u00e8s une activit\u00e9 malveillante en cours et \u00e0 fort impact ciblant les servers Microsoft SharePoint d\u00e9ploy\u00e9s auto-h\u00e9berg\u00e9. Si les environnements cloud ne sont pas concern\u00e9s \u00e0 ce jour, les d\u00e9ploiements SharePoint auto-h\u00e9berg\u00e9s \u2013 en particulier dans les administrations, les \u00e9tablissements scolaires, les structures de sant\u00e9 (notamment les h\u00f4pitaux) et les grandes entreprises \u2013 sont expos\u00e9s \u00e0 un risque imm\u00e9diat.<\/p>\n<p>Les servers Microsoft SharePoint sur site font actuellement l'objet d'une exploitation active et g\u00e9n\u00e9ralis\u00e9e en raison de multiples vuln\u00e9rabilit\u00e9s, collectivement appel\u00e9es \"ToolShell\" (<a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770, <\/a><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a>). Ces vuln\u00e9rabilit\u00e9s permettent aux attaquants d'obtenir une ex\u00e9cution compl\u00e8te de code \u00e0 distance (RCE) sans authentification. Un server SharePoint compromis repr\u00e9sente un risque important pour les organisations, car il peut servir de passerelle vers d'autres services int\u00e9gr\u00e9s de Microsoft.<\/p>\n<p>Outre les bulletins\u00a0CVE, Microsoft a publi\u00e9 des <a href=\"https:\/\/msrc.microsoft.com\/blog\/2025\/07\/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770\/\" target=\"_blank\" rel=\"noopener\">recommandations suppl\u00e9mentaires<\/a> concernant ces failles. Le tableau\u00a01 d\u00e9taille les vuln\u00e9rabilit\u00e9s concern\u00e9es, leurs scores\u00a0CVSS et leur description.<\/p>\n<table style=\"width: 101.16%; height: 240px;\">\n<tbody>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: center; width: 13.3572%; height: 48px;\"><strong>N\u00b0 de CVE<\/strong><\/td>\n<td style=\"text-align: center; width: 75.6589%; height: 48px;\"><strong>Description<\/strong><\/td>\n<td style=\"text-align: center; width: 11.3406%; height: 48px;\"><strong>Score CVSS<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: center; width: 13.3572%; height: 48px;\"><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a><\/td>\n<td style=\"width: 75.6589%; height: 48px;\">Contr\u00f4le inad\u00e9quat de la g\u00e9n\u00e9ration de code (injection de code) dans Microsoft\u00a0Office SharePoint, permettant \u00e0 un attaquant authentifi\u00e9 d\u2019ex\u00e9cuter du code \u00e0 distance.<\/td>\n<td style=\"text-align: center; width: 11.3406%; height: 48px;\">8,8<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: center; width: 13.3572%; height: 48px;\"><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a><\/td>\n<td style=\"width: 75.6589%; height: 48px;\">Authentification incorrecte dans Microsoft\u00a0Office SharePoint, permettant \u00e0 un attaquant authentifi\u00e9 de mener une attaque par usurpation d\u2019identit\u00e9 sur un r\u00e9seau.<\/td>\n<td style=\"text-align: center; width: 11.3406%; height: 48px;\">6,5<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: center; width: 13.3572%; height: 48px;\"><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a><\/td>\n<td style=\"width: 75.6589%; height: 48px;\">D\u00e9s\u00e9rialisation de donn\u00e9es non fiables dans Microsoft\u00a0SharePoint Server d\u00e9ploy\u00e9 sur place, permettant \u00e0 un attaquant non authentifi\u00e9 d\u2019ex\u00e9cuter du code \u00e0 distance.<\/td>\n<td style=\"text-align: center; width: 11.3406%; height: 48px;\">9,8<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: center; width: 13.3572%; height: 48px;\"><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a><\/td>\n<td style=\"width: 75.6589%; height: 48px;\">Limitation incorrecte du chemin d\u2019acc\u00e8s \u00e0 un r\u00e9pertoire restreint (\u00ab\u00a0path\u00a0traversal\u00a0\u00bb) dans Microsoft\u00a0Office SharePoint, permettant \u00e0 un attaquant authentifi\u00e9 de mener une attaque par usurpation d\u2019identit\u00e9.<\/td>\n<td style=\"text-align: center; width: 11.3406%; height: 48px;\">6,5<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tableau\u00a01. Liste des vuln\u00e9rabilit\u00e9s r\u00e9centes affectant Microsoft\u00a0SharePoint.<\/p>\n<p>Ces vuln\u00e9rabilit\u00e9s concernent toutes Microsoft\u00a0SharePoint Enterprise\u00a0Server\u00a02016 et 2019. Les CVE-2025-49706 et CVE-2025-53770 affectent \u00e9galement Microsoft\u00a0SharePoint Server\u00a0Subscription\u00a0Edition. Microsoft pr\u00e9cise que SharePoint\u00a0Online, int\u00e9gr\u00e9 \u00e0 Microsoft\u00a0365, n\u2019est pas concern\u00e9.<\/p>\n<p>Nous collaborons \u00e9troitement avec le Microsoft\u00a0Security Response\u00a0Center\u00a0(MSRC) afin de fournir \u00e0 nos clients les informations les plus r\u00e9centes. Par ailleurs, nous contactons activement les clients et organisations potentiellement affect\u00e9s. La situation \u00e9voluant rapidement, il est recommand\u00e9 de consulter r\u00e9guli\u00e8rement les recommandations de Microsoft.<\/p>\n<p>Nous avons observ\u00e9 une exploitation active de ces vuln\u00e9rabilit\u00e9s\u00a0SharePoint. Les attaquants contournent les m\u00e9canismes d\u2019authentification, y compris l\u2019authentification multifacteur\u00a0(MFA) et l\u2019authentification unique\u00a0(SSO), pour obtenir des acc\u00e8s privil\u00e9gi\u00e9s. Une fois dans le syst\u00e8me, ils exfiltrent des donn\u00e9es sensibles, d\u00e9ploient des portes d\u00e9rob\u00e9es persistantes et volent des cl\u00e9s cryptographiques.<\/p>\n<p>Ces vuln\u00e9rabilit\u00e9s leur permettent d\u2019acc\u00e9der aux syst\u00e8mes, et dans certains cas, de s\u2019y \u00e9tablir durablement. Si votre instance\u00a0SharePoint sur place est expos\u00e9e \u00e0 Internet, partez du principe qu\u2019elle a d\u00e9j\u00e0 \u00e9t\u00e9 compromise. Le correctif seul ne suffit pas \u00e0 \u00e9radiquer totalement la menace.<\/p>\n<p>Nous appelons toutes les organisations utilisant une instance\u00a0SharePoint sur place vuln\u00e9rable \u00e0 prendre imm\u00e9diatement les mesures suivantes\u00a0:<\/p>\n<ul>\n<li>Appliquer sans attendre tous les correctifs disponibles, et ceux \u00e0 venir d\u00e8s leur publication<\/li>\n<li>Proc\u00e9der \u00e0 la rotation de l\u2019ensemble des \u00e9l\u00e9ments cryptographiques<\/li>\n<li>Faire appel \u00e0 une \u00e9quipe d\u2019experts en r\u00e9ponse \u00e0 incident<\/li>\n<\/ul>\n<p>Palo Alto Networks recommande \u00e9galement de suivre les consignes de correctif ou de mitigation publi\u00e9es par Microsoft concernant les vuln\u00e9rabilit\u00e9s suivantes : <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a> et <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a>.<\/p>\n<p><a href=\"https:\/\/msrc.microsoft.com\/blog\/2025\/07\/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770\/\" target=\"_blank\" rel=\"noopener\">Recommandations suppl\u00e9mentaires pour les vuln\u00e9rabilit\u00e9s CVE-2025-53770 et CVE-2025-53771.<\/a><\/p>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient d\u2019une meilleure protection face \u00e0 ces vuln\u00e9rabilit\u00e9s, notamment gr\u00e2ce aux \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Xpanse<\/a> permet d\u2019identifier les appareils\u00a0SharePoint expos\u00e9s sur Internet et d\u2019alerter les \u00e9quipes de d\u00e9fense.<\/li>\n<li>Les agents <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> (version\u00a08.7) dot\u00e9s des version\u00a01870-19884 (ou 1880-19902) des contenus bloquent les tentatives d\u2019exploitation connues li\u00e9es \u00e0 la cha\u00eene CVE-2025-49704\/CVE-2025-49706, et signalent les activit\u00e9s malveillantes associ\u00e9es \u00e0 la cha\u00eene CVE-2025-53770\/CVE-2025-53771.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSOAR\" target=\"_blank\" rel=\"noopener\">Cortex<\/a> a publi\u00e9 un playbook dans le cadre du <a href=\"https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/cve-2025-49704-and-cve-2025-49706-and-cve-2025-53770-and-cve-2025-53771---microsoft-share-point-tool-shell-vulnerability-chain\" target=\"_blank\" rel=\"noopener\">Cortex Response and Remediation Pack.<\/a><\/li>\n<li>La version 1.2 de <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Posture-Management-Release-Notes\/July-2025\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> peut trouver les vuln\u00e9rabilit\u00e9s et bloquer les activit\u00e9s d'exploitation connues li\u00e9es \u00e0 la cha\u00eene d'exploitation de CVE-2025-49704 et CVE-2025-49706 et signaler les activit\u00e9s d'exploitation connues li\u00e9es \u00e0 la cha\u00eene de CVE-2025-53770 et CVE-2025-53771.<\/li>\n<li>Les fonctions <a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifient les adresses IP connues associ\u00e9es \u00e0 cette activit\u00e9 comme \u00e9tant malveillantes.<\/li>\n<li>Un <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> l avec l'abonnement de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> peut aider \u00e0 bloquer l'exploitation des vuln\u00e9rabilit\u00e9s CVE-2025-49704, CVE-2025-49706 et CVE-2025-53771.<\/li>\n<li><a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">L\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> peut \u00e9galement intervenir en cas de compromission ou r\u00e9aliser une \u00e9valuation proactive.<\/li>\n<\/ul>\n<table style=\"width: 98.3978%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Les vuln\u00e9rabilit\u00e9s dont il est question<\/b><\/td>\n<td style=\"width: 212.659%;\"><span style=\"font-weight: 400;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-49704-fr\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-49706-fr\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-53770-fr\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-53771-fr\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a><\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-148172-_heading=h.9bdo0t1gh41c\"><\/a>D\u00e9tails sur les vuln\u00e9rabilit\u00e9s<\/h2>\n<p>CVE-2025-49704 et CVE-2025-49706 constituent un ensemble critique de vuln\u00e9rabilit\u00e9s affectant Microsoft\u00a0SharePoint. Elles permettent \u00e0 des agents de menace non authentifi\u00e9s d\u2019acc\u00e9der \u00e0 des fonctionnalit\u00e9s normalement restreintes. Lorsqu\u2019elles sont exploit\u00e9es de mani\u00e8re combin\u00e9e, ces failles autorisent l\u2019ex\u00e9cution de commandes arbitraires sur les instances\u00a0SharePoint vuln\u00e9rables.<\/p>\n<p>Des attaques actives ciblent actuellement les clients utilisant SharePoint\u00a0Server on-premise, en exploitant une variante de CVE-2025-49706. Cette variante a \u00e9t\u00e9 enregistr\u00e9e sous le num\u00e9ro CVE-2025-53770. Microsoft a \u00e9galement signal\u00e9 une quatri\u00e8me vuln\u00e9rabilit\u00e9\u00a0SharePoint, r\u00e9f\u00e9renc\u00e9e CVE-2025-53771.<\/p>\n<p>Ce qui rend ces vuln\u00e9rabilit\u00e9s particuli\u00e8rement pr\u00e9occupantes, c\u2019est l\u2019int\u00e9gration profonde de SharePoint dans l\u2019\u00e9cosyst\u00e8me\u00a0Microsoft \u2013\u00a0avec notamment des services comme Office, Teams, OneDrive et Outlook\u00a0\u2013 qui contiennent des donn\u00e9es \u00e0 forte valeur pour les cyberattaquants. Une compromission de SharePoint peut ainsi servir de point d\u2019entr\u00e9e vers l\u2019ensemble du r\u00e9seau.<\/p>\n<h2><a id=\"post-148172-_heading=h.dskpwacca2jo\"><\/a>Port\u00e9e actuelle de l\u2019attaque exploitant les vuln\u00e9rabilit\u00e9s CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 et CVE-2025-53771.<\/h2>\n<p><strong>Mise \u00e0 jour du 31 juillet 2025 \u2013 Exploitation de ToolShell pour le d\u00e9ploiement d'un ransomware<\/strong><\/p>\n<p><span style=\"font-weight: 400;\">Une enqu\u00eate sur l'exploitation de ToolShell a r\u00e9v\u00e9l\u00e9 le d\u00e9ploiement du ransomware 4L4MD4R, une variante du ransomware open source <\/span><a href=\"https:\/\/github.com\/mauri870\/ransomware\/tree\/master\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Mauri870<\/span><\/a><span style=\"font-weight: 400;\">. Une tentative d'exploitation infructueusele 27 juillet 2025, impliquant une commande PowerShell encod\u00e9e, a men\u00e9 \u00e0 la d\u00e9couverte d'un <\/span><i><span style=\"font-weight: 400;\">loader<\/span><\/i><span style=\"font-weight: 400;\"> con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter le ransomware depuis <span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/ice.theinnovationfactory[.]it\/static\/4l4md4r.exe (145.239.97[.]206<\/span>). La commande PowerShell tentait de d\u00e9sactiver la surveillance en temps r\u00e9el et de contourner la validation des certificats.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">L'analyse de la charge utile (payload) de 4L4MD4R a r\u00e9v\u00e9l\u00e9 qu'elle est <\/span>pack\u00e9e avec UPX<span style=\"font-weight: 400;\"> et <\/span>\u00e9crite en GoLang<span style=\"font-weight: 400;\">. Lors de son ex\u00e9cution, l'\u00e9chantillon d\u00e9chiffre en m\u00e9moire une charge utile chiffr\u00e9e en AES, alloue de la m\u00e9moire pour charger le fichier PE ainsi d\u00e9chiffr\u00e9, et cr\u00e9e un nouveau thread pour l'ex\u00e9cuter. Le ransomware chiffre les fichiers et <\/span>exige une ran\u00e7on de 0,005 BTC<span style=\"font-weight: 400;\">, en fournissant un e-mail de contact (<span style=\"font-family: 'courier new', courier, monospace;\">m4_cruise@proton[.]me<\/span>) et une adresse de portefeuille Bitcoin (<span style=\"font-family: 'courier new', courier, monospace;\">bc1qqxqe9vsvjmjqc566fgqsgnhlh87fckwegmtg6p<\/span>) pour le paiement.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le ransomware g\u00e9n\u00e8re deux fichiers sur le bureau : <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">DECRYPTION_INSTRUCTIONS.html<\/span><span style=\"font-weight: 400;\"> (la note de ran\u00e7on) et <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ENCRYPTED_LIST.html<\/span><span style=\"font-weight: 400;\"> (une liste des fichiers chiffr\u00e9s), comme observ\u00e9 dans le code source du ransomware Mauri870. De plus, l'\u00e9chantillon s\u2019appuyait sur un <\/span>serveur C2 configur\u00e9 \u201cen dur\u201d<span style=\"font-weight: 400;\"> (<span style=\"font-family: 'courier new', courier, monospace;\">bpp.theinnovationfactory[.]it:445<\/span>) qui envoie l'objet JSON chiffr\u00e9 via une requ\u00eate POST.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les figures 1a et 1b montrent respectivement la note de ran\u00e7on et les instructions de d\u00e9chiffrement des attaquants.<\/span><\/p>\n<figure id=\"attachment_148690\" aria-describedby=\"caption-attachment-148690\" style=\"width: 1555px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148690 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01.png\" alt=\"Une note de ran\u00e7on affich\u00e9e sur l'\u00e9cran d'un ordinateur, avec un texte demandant un paiement en crypto-monnaie pour d\u00e9crypter les fichiers, et avertissant de ne pas contacter les autorit\u00e9s ou de ne pas alt\u00e9rer les donn\u00e9es. La note comprend des instructions pour le paiement et menace de supprimer les fichiers si les demandes ne sont pas satisfaites.\" width=\"1555\" height=\"958\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01.png 1555w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-714x440.png 714w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-1136x700.png 1136w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-768x473.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/2025-07-31-TTI-post-image-01-1536x946.png 1536w\" sizes=\"(max-width: 1555px) 100vw, 1555px\" \/><figcaption id=\"caption-attachment-148690\" class=\"wp-caption-text\">Figure 1a. Note de ran\u00e7on de 4L4MD4R.<\/figcaption><\/figure>\n<figure id=\"attachment_148701\" aria-describedby=\"caption-attachment-148701\" style=\"width: 944px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148701 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted.png\" alt=\"Capture d'\u00e9cran d'un ordinateur affichant une note de ransomware nomm\u00e9e \u00ab DECRYPTION_INSTRUCTIONS.txt \u00bb dans un \u00e9diteur de texte. La note demande un paiement en bitcoins pour le d\u00e9cryptage du fichier et fournit des informations de contact. Certaines informations sont caviard\u00e9es pour des raisons de confidentialit\u00e9.\" width=\"944\" height=\"729\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted.png 944w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted-570x440.png 570w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted-906x700.png 906w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/image-with-victim-ID-redacted-768x593.png 768w\" sizes=\"(max-width: 944px) 100vw, 944px\" \/><figcaption id=\"caption-attachment-148701\" class=\"wp-caption-text\">Figure 1b. Instructions de d\u00e9cryptage<\/figcaption><\/figure>\n<p><b>Mise \u00e0 jour du 29 juillet 2025<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Unit 42 a collect\u00e9 et analys\u00e9 l'activit\u00e9 li\u00e9e aux tentatives d'exploitation de la vuln\u00e9rabilit\u00e9 CVE-2025-53770 \u00e0 partir de sources de t\u00e9l\u00e9m\u00e9trie internes. Nos premi\u00e8res observations de l'exploitation de la CVE-2025-53770 datent du 17 juillet 2025, d\u00e8s 08h40 UTC, et se sont poursuivies jusqu'au 22 juillet 2025. Elles provenaient d'adresses IP que nous suivons au sein d'un <\/span>groupe d'activit\u00e9<span style=\"font-weight: 400;\"> nomm\u00e9 CL-CRI-1040. \u00c0 partir du 17 juillet 2025, 06h58 UTC, nous avons observ\u00e9 des adresses IP associ\u00e9es \u00e0 CL-CRI-1040 tester des servers SharePoint pour v\u00e9rifier leur vuln\u00e9rabilit\u00e9 avant les tentatives d'exploitation. De plus, nous avons remarqu\u00e9 un sch\u00e9ma dans les tentatives d'exploitation qui sugg\u00e8re que les acteurs utilisent une <\/span>liste de ciblage statique<span style=\"font-weight: 400;\"> de servers SharePoint.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les acteurs associ\u00e9s \u00e0 cette activit\u00e9 semblent avoir ajust\u00e9 leurs tactiques et techniques dans ce court laps de temps en modifiant rapidement leur infrastructure et leurs <\/span>payloads utiles<span style=\"font-weight: 400;\"> pour tenter d'\u00e9chapper \u00e0 la d\u00e9tection. Ces acteurs sont pass\u00e9s de l\u2019utilisation de <\/span>modules .NET<span style=\"font-weight: 400;\"> comme payloads utiles apr\u00e8s une exploitation r\u00e9ussie \u00e0 une payload utile de type <\/span>web sell<span style=\"font-weight: 400;\"> aux fonctionnalit\u00e9s similaires. Apr\u00e8s la publication des web shells et leur analyse dans des blogs publics, nous avons observ\u00e9 les acteurs revenir \u00e0 l\u2019utilisation des modules .NET pr\u00e9c\u00e9demment observ\u00e9s comme payloads utiles.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Du point de vue de l'<\/span>attribution<span style=\"font-weight: 400;\">, l'une des adresses IP exploitant la CVE-2025-53770 dans le cadre de CL-CRI-1040 correspond au groupe d'activit\u00e9 Storm-2603 <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">identifi\u00e9 par Microsoft<\/a>. Nous menons actuellement des recherches sur ce groupe pour obtenir plus d'informations sur les acteurs impliqu\u00e9s.<\/span><\/p>\n<h3><b>Reconnaissance initiale<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Avant de tenter d'exploiter la CVE-2025-53770, les <\/span>acteurs malveillants<span style=\"font-weight: 400;\"> semblent avoir men\u00e9 une phase de reconnaissance initiale pour s'assurer que les servers distants \u00e9taient sur une version vuln\u00e9rable de SharePoint. \u00c0 partir du 17 juillet 2025, 06h58 UTC, nous avons observ\u00e9 des <\/span>requ\u00eates HTTP GET<span style=\"font-weight: 400;\"> pour <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> avec un User-Agent <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">python-requests\/2.32.3<\/span><span style=\"font-weight: 400;\"> et sans champ \u00ab referer \u00bb, provenant des adresses IP suivantes :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.86.231[.]241<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">51.161.152[.]26<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">91.236.230[.]76<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">92.222.167[.]88<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Selon la t\u00e9l\u00e9m\u00e9trie de Cortex Xpanse, toutes ces adresses IP sont des <\/span>n\u0153uds de sortie<span style=\"font-weight: 400;\"> associ\u00e9s au r\u00e9seau de confidentialit\u00e9 Safing (SPN, <a href=\"https:\/\/safing.io\/spn\/\" target=\"_blank\" rel=\"noopener\">Safing Privacy Network<\/a>). Nous pensons que l'acteur a tent\u00e9 de dissimuler sa localisation en utilisant le SPN pour envoyer ces requ\u00eates HTTP GET \u00e0 partir d'un script de test, afin de v\u00e9rifier sa liste de ciblage avant les tentatives d'exploitation. Notre conviction que l'acteur utilisait une liste de ciblage est renforc\u00e9e par l'observation du m\u00eame ordre s\u00e9quentiel dans les requ\u00eates HTTP GET et les <\/span>requ\u00eates HTTP POST<span style=\"font-weight: 400;\"> des tentatives d'exploitation provenant des adresses IP suivantes :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><\/li>\n<\/ul>\n<h3>Payloads utiles d\u00e9ploy\u00e9es<\/h3>\n<p><span style=\"font-weight: 400;\">Comme mentionn\u00e9 pr\u00e9c\u00e9demment, les adresses IP suivantes sont associ\u00e9es \u00e0 CL-CRI-1040, bien qu'elles d\u00e9ploient des payloads utiles diff\u00e9rentes apr\u00e8s l'exploitation r\u00e9ussie de la CVE-2025-53770 :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><\/li>\n<\/ul>\n<p>La t\u00e9l\u00e9m\u00e9trie a confirm\u00e9 que l'adresse <span style=\"font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span> a initi\u00e9 l'exploitation de la vuln\u00e9rabilit\u00e9 SharePoint le 17 juillet \u00e0 08h58 UTC, en livrant un module d'assemblage .NET personnalis\u00e9 nomm\u00e9 <a href=\"https:\/\/www.virustotal.com\/gui\/file\/4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030\" target=\"_blank\" rel=\"noopener\">qlj22mpc<\/a> comme payload utile. Le lendemain, le 18 juillet, cette m\u00eame adresse IP a livr\u00e9 une nouvelle payload utile nomm\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">bjcloiyq.<\/span> Ces deux modules .NET exfiltraient les <span style=\"font-family: 'courier new', courier, monospace;\">MachineKeys<\/span> cryptographiques du sever SharePoint dans une cha\u00eene de caract\u00e8res d\u00e9limit\u00e9e par une barre verticale (\u00ab <span style=\"font-family: 'courier new', courier, monospace;\">|<\/span> \u00bb) au sein de la r\u00e9ponse HTTP, que l'acteur pouvait utiliser pour un acc\u00e8s futur au server.<\/p>\n<p><span style=\"font-weight: 400;\">Les 18 et 19 juillet, les adresses IP <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><span style=\"font-weight: 400;\"> et <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\"> du groupe CL-CRI-1040 ont livr\u00e9 une payload utile enti\u00e8rement nouvelle apr\u00e8s l'exploitation r\u00e9ussie de la CVE-2025-53770. Au lieu d'ex\u00e9cuter un module .NET apr\u00e8s avoir exploit\u00e9 la vuln\u00e9rabilit\u00e9, ces adresses IP ont livr\u00e9 une payload utile qui ex\u00e9cute une <\/span><b>commande <\/b>PowerShell encod\u00e9e<span style=\"font-weight: 400;\"> (discut\u00e9e dans les sections Variation 2 et Variation 3) pour enregistrer un shell web dans le fichier <\/span><a href=\"https:\/\/www.virustotal.com\/gui\/file\/92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span><\/a><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ce shell web \u00e9tait d\u00e9ploy\u00e9 pour exfiltrer les <span style=\"font-family: georgia, palatino, serif;\">MachineKeys<\/span> cryptographiques du server SharePoint dans une cha\u00eene de caract\u00e8res d\u00e9limit\u00e9e par une barre verticale (\u00ab | \u00bb) lors de l'acc\u00e8s \u00e0 <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span><span style=\"font-weight: 400;\">. La r\u00e9ponse contenait les m\u00eames champs de <span style=\"font-family: 'courier new', courier, monospace;\">MachineKeys<\/span>, dans le m\u00eame ordre que les modules .NET mentionn\u00e9s pr\u00e9c\u00e9demment.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les acteurs associ\u00e9s \u00e0 CL-CRI-1040 qui exploitent la CVE-2025-53770 d\u00e9montrent une capacit\u00e9 \u00e0 ajuster leurs tactiques et techniques en cours d'op\u00e9ration. Ils sont pass\u00e9s de modules .NET comme payloads utiles \u00e0 une payload utile de type webshell aux fonctionnalit\u00e9s similaires. Ils sont ensuite revenus \u00e0 l'utilisation de modules .NET comme payloads utiles apr\u00e8s la publication des webshell dans des blogs publics, comme le blog de recherche <a href=\"https:\/\/research.eye.security\/sharepoint-under-siege\/\" target=\"_blank\" rel=\"noopener\">d'Eye Security sur l'exploitation de la CVE-2025-53770<\/a>.<\/span><\/p>\n<h3><span style=\"font-weight: 400;\">Liste de ciblage<\/span><\/h3>\n<p><span style=\"font-weight: 400;\">Nous avons remarqu\u00e9 un sch\u00e9ma de ciblage qui sugg\u00e8re que les acteurs ont utilis\u00e9 une liste de cibles. Nous avons class\u00e9 leur activit\u00e9 par ordre chronologique et avons pris un \u00e9chantillon de l'activit\u00e9 sur quatre cibles distinctes. Nous d\u00e9signerons ces cibles par <\/span>IPv4 1, IPv4 2, IPv4 3 et Domaine 1<span style=\"font-weight: 400;\"> afin de pr\u00e9server l'anonymat des organisations touch\u00e9es.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">D'abord, nous avons observ\u00e9 l'adresse <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">91.236.230[.]76<\/span><span style=\"font-weight: 400;\"> effectuer des requ\u00eates HTTP GET pour <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> dans l'ordre suivant :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 \u2013 17 juillet 2025, 07h29 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 \u2013 17 juillet 2025, 07h32 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 \u2013 17 juillet 2025, 07h33 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Domaine 1 \u2013 17 juillet 2025, 07h52 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Nous avons ensuite observ\u00e9 l'adresse IP <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><span style=\"font-weight: 400;\"> \u00e9mettre des requ\u00eates HTTP POST pour <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> avec un \u00ab referer \u00bb de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/SignOut.aspx<\/span><span style=\"font-weight: 400;\"> lors de la tentative d'exploitation de la vuln\u00e9rabilit\u00e9 SharePoint sur les m\u00eames alias de cibles, dans le m\u00eame ordre :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 - 17 juillet 2025, 09h31 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 - 17 juillet 2025, 09h36 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 - 17 juillet 2025, 09h37 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Domaine 1 - 17 juillet 2025, 10h17 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Le lendemain, le 18 juillet 2025, nous avons vu l'adresse <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><span style=\"font-weight: 400;\"> \u00e9mettre une requ\u00eate HTTP POST vers <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/ToolPane.aspx?DisplayMode=Edit&amp;a=\/ToolPane.aspx<\/span><span style=\"font-weight: 400;\"> suivie d'une requ\u00eate HTTP GET vers <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/_layouts\/15\/spinstall0.aspx<\/span><span style=\"font-weight: 400;\">, dans le m\u00eame ordre :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 - 18 juillet 2025, 14h01 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 - 18 juillet 2025, 14h05 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 - 18 juillet 2025, 14h07 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Domaine 1 - 18 juillet 2025, 15h01 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Enfin, le jour suivant (19 juillet 2025), nous avons constat\u00e9 la m\u00eame activit\u00e9 de requ\u00eates HTTP POST et GET de la part de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\"> que celle de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><span style=\"font-weight: 400;\"> :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 1 - 19 juillet 2025, 03h43 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 2 - 19 juillet 2025, 03h48 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">IPv4 3 - 19 juillet 2025, 03h49 UTC<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Domaine 1 - 19 juillet 2025, 04h41 UTC<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Le sch\u00e9ma ci-dessus montre la m\u00eame s\u00e9quence de cibles avec un intervalle de temps similaire entre les \u00e9v\u00e9nements individuels, que ce soit pour la s\u00e9rie initiale de requ\u00eates de test ou pour les trois s\u00e9ries de requ\u00eates d'exploitation qui ont suivi.<\/span><\/p>\n<h3>Attribution<\/h3>\n<p><span style=\"font-weight: 400;\">L'adresse IP <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\"> du groupe CL-CRI-1040, observ\u00e9e dans l'exploitation de la CVE-2025-53770, a \u00e9galement \u00e9t\u00e9 attribu\u00e9e par Microsoft \u00e0 leur groupe d'activit\u00e9 nomm\u00e9 Storm-2603. Microsoft a \u00e9galement mentionn\u00e9 que Storm-2603 a d\u00e9ploy\u00e9 un web shell nomm\u00e9 <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span><span style=\"font-weight: 400;\"> avec un <\/span>hachage SHA256<span style=\"font-weight: 400;\"> de <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514<\/span><span style=\"font-weight: 400;\">, ce qui correspond directement \u00e0 nos observations de l'activit\u00e9 associ\u00e9e \u00e0 l'adresse <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Nous \u00e9valuons avec une <\/span>confiance mod\u00e9r\u00e9e<span style=\"font-weight: 400;\"> que le groupe CL-CRI-1040 et le groupe Storm-2603 se chevauchent, et nous continuerons d'analyser l'activit\u00e9 associ\u00e9e \u00e0 CL-CRI-1040 pour obtenir plus d'informations sur ce groupe.<\/span><\/p>\n<p>Unit\u00a042, ainsi que d\u2019autres organisations (dont Microsoft) ont observ\u00e9 une exploitation active et massive de ces vuln\u00e9rabilit\u00e9s.<\/p>\n<p>Notre t\u00e9l\u00e9m\u00e9trie r\u00e9v\u00e8le une \u00e9volution claire de la campagne d'attaque SharePoint ToolShell, qui s'est d\u00e9roul\u00e9e en deux phases distinctes :<\/p>\n<ul>\n<li>Une phase pr\u00e9-PoC<\/li>\n<li>Une phase post-PoC plus importante (exploitation en masse)<\/li>\n<\/ul>\n<p>Sur la base de la t\u00e9l\u00e9m\u00e9trie des points d'extr\u00e9mit\u00e9, nous avons cr\u00e9\u00e9 une repr\u00e9sentation du volume d'activit\u00e9 qui illustre les sch\u00e9mas observ\u00e9s au fil du temps, comme le montre la figure 1.<\/p>\n<figure id=\"attachment_148173\" aria-describedby=\"caption-attachment-148173\" style=\"width: 1475px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148173 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-413429-148172-1.png\" alt=\"Diagramme \u00e0 barres intitul\u00e9 \u00ab Volume d'activit\u00e9 dans le temps \u00bb montrant les fluctuations du volume d'activit\u00e9 \u00e0 diff\u00e9rentes dates. L'axe Y indique le volume d'activit\u00e9 et l'axe X indique la plage de dates, qui va du 17 juillet 2025 au 24 juillet 2025.\" width=\"1475\" height=\"783\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-413429-148172-1.png 1475w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-413429-148172-1-786x417.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-413429-148172-1-1319x700.png 1319w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-413429-148172-1-768x408.png 768w\" sizes=\"(max-width: 1475px) 100vw, 1475px\" \/><figcaption id=\"caption-attachment-148173\" class=\"wp-caption-text\">Figure 2. Volume d'activit\u00e9 au fil du temps d'apr\u00e8s la t\u00e9l\u00e9m\u00e9trie des points d'extr\u00e9mit\u00e9.<\/figcaption><\/figure>\n<p>Chronologie des activit\u00e9s:<\/p>\n<ul>\n<li>17\u00a0mai\u00a02025\u00a0: <a href=\"https:\/\/cybersecuritynews.com\/pwn2own-0-day-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Cyber\u00a0Security\u00a0News<\/a> rapporte que, lors de l\u2019\u00e9v\u00e9nement Pwn2Own\u00a0Berlin, Dinh\u00a0Ho Anh\u00a0Khoa (@\\_l0gg) de Viettel\u00a0Cyber\u00a0Security a encha\u00een\u00e9 deux vuln\u00e9rabilit\u00e9s\u00a0SharePoint pour obtenir un acc\u00e8s non autoris\u00e9. Ces vuln\u00e9rabilit\u00e9s deviendront les CVE-2025-49704 et CVE-2025-49706. @\\_l0gg a ensuite baptis\u00e9 cette cha\u00eene d\u2019exploitation \u00ab\u00a0ToolShell\u00a0\u00bb.<\/li>\n<li>8\u00a0juillet\u00a02025\u00a0: Microsoft publie les CVE-2025-49704 et CVE-2025-49706. Au moment de la publication, aucune exploitation active n\u2019avait encore \u00e9t\u00e9 signal\u00e9e.<\/li>\n<li>14\u00a0juillet\u00a02025\u00a0: moins d\u2019une semaine plus tard, l\u2019\u00e9quipe offensive de <a href=\"https:\/\/infosec.exchange\/@codewhitesec\/114851715379861407\" target=\"_blank\" rel=\"noopener\">Code\u00a0White\u00a0GmbH d\u00e9montre <\/a> qu\u2019elle est capable de reproduire une cha\u00eene d\u2019exploitation non authentifi\u00e9e li\u00e9e \u00e0 ces vuln\u00e9rabilit\u00e9s dans SharePoint.<\/li>\n<li>19\u00a0juillet\u00a02025\u00a0: Microsoft publie des informations sur les CVE-2025-53770 et CVE-2025-53771. Lors de la publication, des exploitations actives avaient d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9es. Microsoft pr\u00e9cise que CVE-2025-53770 est une variante de CVE-2025-49706.<\/li>\n<li>Au 21\u00a0juillet\u00a02025, plusieurs preuves de concept\u00a0(PoC) ont \u00e9t\u00e9 publi\u00e9es sur GitHub.<\/li>\n<\/ul>\n<p>L\u2019\u00e9quipe de Managed Threat Hunting d\u2019Unit\u00a042 a identifi\u00e9 trois\u00a0variantes distinctes d\u2019activit\u00e9s d\u2019exploitation, et ce d\u00e8s le 17\u00a0juillet.<\/p>\n<h3><a id=\"post-148172-_heading=h.9wigykian467\"><\/a>Variante\u00a01<\/h3>\n<p>Dans cette premi\u00e8re variante, nous avons observ\u00e9 l\u2019ex\u00e9cution d\u2019une commande\u00a0shell appelant un script\u00a0PowerShell. L\u2019objectif \u00e9tait d\u2019it\u00e9rer sur les fichiers\u00a0web.config pr\u00e9sents sur la machine cibl\u00e9e et d\u2019enregistrer leur contenu dans un fichier nomm\u00e9\u00a0debug_dev.js.<\/p>\n<p>La figure 3 pr\u00e9sente les commandes observ\u00e9es.<\/p>\n<figure id=\"attachment_148184\" aria-describedby=\"caption-attachment-148184\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148184 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-415877-148172-2.png\" alt=\"Capture d'\u00e9cran affichant du code dans un \u00e9diteur de texte, impliquant des chemins et des extensions.\" width=\"1000\" height=\"407\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-415877-148172-2.png 1464w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-415877-148172-2-786x320.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-415877-148172-2-768x313.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148184\" class=\"wp-caption-text\">Figure 3. Commandes observ\u00e9es lors de l\u2019exploitation active de la vuln\u00e9rabilit\u00e9 SharePoint.<\/figcaption><\/figure>\n<p>Les commandes de la figure\u00a01 ex\u00e9cutent les actions suivantes\u00a0:<\/p>\n<ul>\n<li>D\u00e9finition du r\u00e9pertoire source \u00e0 analyser pour localiser les fichiers\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span><\/li>\n<li>Cr\u00e9ation d\u2019un fichier vide nomm\u00e9\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">debug_dev.js<\/span><\/li>\n<li>It\u00e9ration sur les fichiers\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span> pr\u00e9sents dans le r\u00e9pertoire source<\/li>\n<li>Si un fichier\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">web.config<\/span> est trouv\u00e9, son contenu est ajout\u00e9 au fichier\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">debug_dev.js<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-148172-_heading=h.579sjxyyeap4\"><\/a>Variante\u00a02<\/h3>\n<p>Dans une autre variante, nous avons observ\u00e9 le processus IIS\u00a0Process\u00a0Worker (<span style=\"font-family: 'courier new', courier, monospace;\">w3wp.exe<\/span>) invoquant une commande shell pour ex\u00e9cuter une commande PowerShell encod\u00e9e en Base64, comme illustr\u00e9 \u00e0 la figure 4.<\/p>\n<figure id=\"attachment_148195\" aria-describedby=\"caption-attachment-148195\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148195 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-418009-148172-3.png\" alt=\"Capture d'\u00e9cran d'un code informatique, comportant des lignes de cha\u00eenes Base64 cod\u00e9es et d\u00e9cod\u00e9es avec des chemins d'acc\u00e8s \u00e0 des fichiers et des commandes syst\u00e8me.\" width=\"1000\" height=\"568\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-418009-148172-3.png 1480w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-418009-148172-3-775x440.png 775w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-418009-148172-3-1233x700.png 1233w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-418009-148172-3-768x436.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148195\" class=\"wp-caption-text\">Figure 4. Commande PowerShell encod\u00e9e en Base64 observ\u00e9e dans cette variante.<\/figcaption><\/figure>\n<p>La commande pr\u00e9sent\u00e9e dans la figure\u00a02 cr\u00e9e un fichier \u00e0 l\u2019emplacement suivant\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~~1\\COMMON~~1\\MICROS~~1\\WEBSER~~1\\16\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span>, puis d\u00e9code le contenu d\u2019une cha\u00eene\u00a0Base64 contenue dans la variable<span style=\"font-family: 'courier new', courier, monospace;\">\u00a0$base64string<\/span> pour l\u2019\u00e9crire dans ce fichier. Le fichier\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> correspond \u00e0 un webshell capable d\u2019ex\u00e9cuter diverses fonctions, notamment la r\u00e9cup\u00e9ration des <span style=\"font-family: 'courier new', courier, monospace;\">ValidationKeys, des DecryptionKeys<\/span> et du <span style=\"font-family: 'courier new', courier, monospace;\">CompatabilityMode<\/span> du server \u2013 des \u00e9l\u00e9ments n\u00e9cessaires pour forger des cl\u00e9s de chiffrement ViewState.<\/p>\n<p>La figure 5 montre le contenu du fichier <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> cr\u00e9\u00e9 par la commande de la figure 4.<\/p>\n<figure id=\"attachment_148206\" aria-describedby=\"caption-attachment-148206\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148206 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-420620-148172-4.png\" alt=\"Capture d'\u00e9cran affichant du code, avec un script faisant r\u00e9f\u00e9rence aux espaces de noms.\" width=\"1000\" height=\"527\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-420620-148172-4.png 1492w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-420620-148172-4-786x414.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-420620-148172-4-1329x700.png 1329w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-420620-148172-4-768x405.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148206\" class=\"wp-caption-text\">Figure 5. Contenu du fichier <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx.<\/span><\/figcaption><\/figure>\n<h3><a id=\"post-148172-_heading=h.ege6tmssuk7b\"><\/a>Variante\u00a03<\/h3>\n<p>Cette variante est quasi identique \u00e0 la variante\u00a02, \u00e0 quelques diff\u00e9rences mineures pr\u00e8s\u00a0:<\/p>\n<ul>\n<li>\u00c9criture du fichier\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> \u00e0 l\u2019emplacement suivant\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\15\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span>\n<ul>\n<li>La diff\u00e9rence r\u00e9side ici dans le r\u00e9pertoire 15 au lieu de 16<\/li>\n<\/ul>\n<\/li>\n<li>Renommage des variables avec des noms \u00e0 un seul caract\u00e8re<\/li>\n<li>Appel de la fonction\u00a0sleep en fin de script<\/li>\n<\/ul>\n<p>La figure 6 ci-dessous illustre un exemple de cette variante.<\/p>\n<figure id=\"attachment_148217\" aria-describedby=\"caption-attachment-148217\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-148217 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-423016-148172-5.png\" alt=\"Capture d'\u00e9cran d'un ordinateur affichant des blocs de code de programmation.\" width=\"1000\" height=\"592\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-423016-148172-5.png 1496w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-423016-148172-5-743x440.png 743w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-423016-148172-5-1182x700.png 1182w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/word-image-423016-148172-5-768x455.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-148217\" class=\"wp-caption-text\">Figure 6. Variante 3 de l\u2019activit\u00e9 d\u2019exploitation.<\/figcaption><\/figure>\n<h2><a id=\"post-148172-_heading=h.z4qr1t3ftu4w\"><\/a>Recommandations provisoires<\/h2>\n<p>Palo\u00a0Alto Networks et Unit\u00a042 travaillent en \u00e9troite collaboration avec le Microsoft\u00a0Security Response\u00a0Center\u00a0(MSRC) et recommandent de prendre les mesures critiques suivantes\u00a0:<\/p>\n<ul>\n<li><strong>Contenir la menace\u00a0:<\/strong> d\u00e9connecter imm\u00e9diatement d\u2019internet les servers SharePoint on-premise vuln\u00e9rables, jusqu\u2019\u00e0 ce qu\u2019ils soient int\u00e9gralement s\u00e9curis\u00e9s et la menace contenue.<\/li>\n<li><strong>Corriger et renforcer la s\u00e9curit\u00e9\u00a0:<\/strong> appliquer tous les correctifs de s\u00e9curit\u00e9 publi\u00e9s par Microsoft d\u00e8s leur disponibilit\u00e9. Il est imp\u00e9ratif de faire pivoter l\u2019ensemble des \u00e9l\u00e9ments cryptographiques et de r\u00e9initialiser les mat\u00e9riels d\u2019authentification associ\u00e9s.<\/li>\n<li><strong>Faire appel \u00e0 une \u00e9quipe d\u2019experts en r\u00e9ponse \u00e0 incident\u00a0:<\/strong> une fausse impression de s\u00e9curit\u00e9 peut entra\u00eener une exposition prolong\u00e9e. Nous recommandons vivement aux organisations concern\u00e9es de mobiliser une \u00e9quipe professionnelle de r\u00e9ponse \u00e0 incident pour effectuer une \u00e9valuation approfondie de la compromission, rechercher d\u2019\u00e9ventuelles portes d\u00e9rob\u00e9es et garantir l\u2019\u00e9limination compl\u00e8te de la menace.<\/li>\n<\/ul>\n<p>Palo\u00a0Alto Networks recommande \u00e9galement de suivre les consignes de correctif ou de mitigation publi\u00e9es par Microsoft concernant les vuln\u00e9rabilit\u00e9s suivantes\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49704\" target=\"_blank\" rel=\"noopener\">CVE-2025-49704<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-49706\" target=\"_blank\" rel=\"noopener\">CVE-2025-49706<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53770\" target=\"_blank\" rel=\"noopener\">CVE-2025-53770<\/a><\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-53771\" target=\"_blank\" rel=\"noopener\">CVE-2025-53771<\/a><\/li>\n<\/ul>\n<p>Recommandations suppl\u00e9mentaires de<a href=\"https:\/\/msrc.microsoft.com\/blog\/2025\/07\/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770\/\" target=\"_blank\" rel=\"noopener\"> Microsoft pour les vuln\u00e9rabilit\u00e9s CVE-2025-53770 et CVE-2025-53771.<\/a> Microsoft indique que la mise \u00e0 jour li\u00e9e \u00e0 CVE-2025-53770 offre une protection renforc\u00e9e par rapport \u00e0 celle de CVE-2025-49704, et que la mise \u00e0 jour pour CVE-2025-53771 am\u00e9liore significativement la couverture de s\u00e9curit\u00e9 par rapport \u00e0 CVE-2025-49706.<\/p>\n<p>Mise \u00e0 jour du 25 juillet 2025 : <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Microsoft recommande les mesures<\/a> suivantes pour la rotation des cl\u00e9s machine.<\/p>\n<ul>\n<li>Appliquer la mise \u00e0 jour de s\u00e9curit\u00e9 de Microsoft<\/li>\n<li>Refaire la rotation des cl\u00e9s machine ASP.NET<\/li>\n<li>Red\u00e9marrer le server web IIS<\/li>\n<\/ul>\n<h2><a id=\"post-148172-_heading=h.lqtu67s71hyu\"><\/a>Requ\u00eates de l\u2019\u00e9quipe Managed Threat Hunting d\u2019Unit\u00a042<\/h2>\n<p>L\u2019\u00e9quipe de Managed Threat Hunting d\u2019Unit\u00a042 continue de surveiller activement toute tentative d\u2019exploitation de ces vuln\u00e9rabilit\u00e9s chez nos clients, \u00e0 l\u2019aide de Cortex\u00a0XDR et des requ\u00eates\u00a0XQL ci-dessous. Les clients Cortex\u00a0XDR peuvent \u00e9galement utiliser ces requ\u00eates pour rechercher d\u2019\u00e9ventuels indicateurs d\u2019exploitation.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Note: This query will only work on agents 8.7 or higher\r\n\/\/ Description: This query leverages DotNet telemetry to identify references to ToolPane.exe, and extracts fields to provide additional context.\r\ndataset = xdr_data\r\n| fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_image_path, actor_process_command_line, dynamic_event_string_map, event_thread_context, event_type\r\n| filter event_type = ENUM.DOT_NET and actor_process_image_name = \"w3wp.exe\" and event_thread_context contains \"ToolPane.aspx\"\r\n\r\n\/\/ Extract the IIS application pool name from command line\r\n| alter IIS_appName = arrayindex(regextract(actor_process_command_line, \"\\-ap\\s+\\\"([^\\\"]+)\\\"\"), 0)\r\n\r\n\/\/ Extract fields from the dynamic_string_string_map:\r\n\/\/ EventSrcIP - Logged IP address by the IIS server\r\n\/\/ RequestURI - The requested URL by the threat actor\r\n\/\/ Payload - time he decoded .NET payload from exploitation\r\n\/\/ Headers - HTTP request headers\r\n| alter EventSrcIP = trim(json_extract(dynamic_event_string_map, \"$.27\"), \"\\\"\"),\r\n        RequestURI = trim(json_extract(dynamic_event_string_map, \"$.26\"), \"\\\"\"),\r\n        Payload = trim(json_extract(dynamic_event_string_map, \"$.30\"), \"\\\"\"),\r\n        Headers = trim(json_extract(dynamic_event_string_map, \"$.32\"), \"\\\"\")\r\n\r\n\/\/ Extract the X-Forwarded-For headers from the Headers field in an attempt to identify the source of exploitation\r\n| alter x_forwarded_for_header = regextract(lowercase(Headers), \"\\|(?:client-ip|x-forwarded-for)\\:((?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[1-9])(?:\\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[0-9])){3})\\|\")\r\n\r\n| fields _time, agent_hostname, actor_effective_username, actor_process_image_path, actor_process_command_line, IIS_appName, dynamic_event_string_map, event_thread_context, EventSrcIP, x_forwarded_for_header, RequestURI, Payload, Headers\r\n<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query identifies specific files being written to the observed file paths during exploitation. This query may identify false-positive, legitimate files.\r\ndataset = xdr_data \r\n| fields _time, agent_hostname, causality_actor_process_image_name, causality_actor_process_command_line, actor_process_image_name, actor_process_command_line, action_file_name, action_file_path, action_file_extension, action_file_sha256, event_type, event_sub_type \r\n| filter event_type = ENUM.FILE and event_sub_type in (ENUM.FILE_WRITE, ENUM.FILE_CREATE_NEW) and lowercase(action_file_path) ~= \"web server extensions\\\\1[5-6]\\\\template\\\\layouts\" and lowercase(action_file_extension) in (\"asp\", \"aspx\", \"js\", \"txt\", \"css\")\r\n| filter lowercase(actor_process_image_name) in (\"powershell.exe\", \"cmd.exe\", \"w3wp.exe\")\r\n| comp values(action_file_name) as action_file_name, values(action_file_path) as action_file_path, values(actor_process_command_line) as actor_process_command_line by agent_hostname, actor_process_image_name addrawdata = true\r\n<\/pre>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query identifies the IIS Process Worker, w3wp invoking a command shell which executes a base64 encodedPowerShell command. This is not specific to the CVE, and may catch potential other post-exploitation activity.\r\ndataset = xdr_data \r\n| fields _time, agent_hostname, causality_actor_process_image_name, actor_process_image_name, actor_process_command_line, action_process_image_name, action_process_image_command_line , event_type, event_sub_type \r\n| filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START and lowercase(causality_actor_process_image_name) = \"w3wp.exe\" and lowercase(actor_process_image_name) = \"cmd.exe\" and lowercase(action_process_image_name) = \"powershell.exe\" and action_process_image_command_line  ~= \"(?:[A-Za-z0-9+\\\/]{4})*(?:[A-Za-z0-9+\\\/]{4}|[A-Za-z0-9+\\\/]{3}=|[A-Za-z0-9+\\\/]{2}={2})\"\r\n<\/pre>\n<h2><a id=\"post-148172-_heading=h.2l221tieu76g\"><\/a>Conclusion<\/h2>\n<p>Au vu des cas d\u2019exploitation active observ\u00e9s dans la nature, ainsi que de la simplicit\u00e9 et de l\u2019efficacit\u00e9 de cette cha\u00eene d\u2019attaque, Palo\u00a0Alto Networks vous conseille vivement de suivre les recommandations de Microsoft afin de prot\u00e9ger votre organisation. Palo\u00a0Alto Networks et Unit\u00a042 continueront de surveiller la situation et de publier des mises \u00e0 jour en cas d\u2019\u00e9volution.<\/p>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 nos conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber\u00a0Threat Alliance<\/a>.<\/p>\n<p>Les clients Palo\u00a0Alto Networks b\u00e9n\u00e9ficient d\u2019une protection renforc\u00e9e gr\u00e2ce \u00e0 nos solutions, comme d\u00e9taill\u00e9 ci-dessous. Nous mettrons \u00e0 jour ce Bulletin s\u00e9curit\u00e9 au fur et \u00e0 mesure de l\u2019\u00e9volution de la situation et de l\u2019arriv\u00e9e de nouvelles informations pertinentes.<\/p>\n<h2><a id=\"post-148172-_heading=h.rt0qgs6w0q1w\"><\/a>Protections offertes par les produits Palo\u00a0Alto Networks contre l\u2019exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint<\/h2>\n<p>Les clients Palo\u00a0Alto\u00a0Networks peuvent s\u2019appuyer sur un large \u00e9ventail de protections int\u00e9gr\u00e9es aux produits et de mises \u00e0 jour pour identifier et contrer cette menace.<\/p>\n<p>Vous pensez que votre entreprise a \u00e9t\u00e9 compromise\u00a0? Vous devez faire face \u00e0 une urgence\u00a0? Contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<h3><a id=\"post-148172-_heading=h.qxgm71w9735q\"><\/a>Next-Generation Firewalls avec Advanced Threat Prevention<\/h3>\n<p>Le <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> avec l'abonnement de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> peut aider \u00e0 bloquer l'exploitation des vuln\u00e9rabilit\u00e9s CVE-2025-49704, CVE-2025-49706 et CVE-2025-53771 via les signatures de pr\u00e9vention des menaces (Threat Prevention) suivantes : <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?query=96481\" target=\"_blank\" rel=\"noopener\">96481<\/a>, <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?query=96436\" target=\"_blank\" rel=\"noopener\">96436<\/a> et <a href=\"https:\/\/threatvault.paloaltonetworks.com\/?query=96496\" target=\"_blank\" rel=\"noopener\">96496<\/a>.<\/p>\n<h3><a id=\"post-148172-_heading=h.hvhymrh6j6j8\"><\/a>Cloud-Delivered Security Services pour les pare-feux nouvelle g\u00e9n\u00e9ration<\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a> identifient les adresses IP connues associ\u00e9es \u00e0 cette activit\u00e9 comme malveillantes.<\/p>\n<h3>Cortex<\/h3>\n<p>Cortex a publi\u00e9 un playbook dans le cadre du <a href=\"https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/cve-2025-49704-and-cve-2025-49706-and-cve-2025-53770-and-cve-2025-53771---microsoft-share-point-tool-shell-vulnerability-chain\" target=\"_blank\" rel=\"noopener\">Cortex Response and Remediation Pack.<\/a><\/p>\n<p>D\u00e9clench\u00e9 par une alerte SharePoint \u00ab ToolShell \u00bb ou un lancement manuel, le playbook prend d'abord l'empreinte de chaque h\u00f4te SharePoint par le biais d'une requ\u00eate XQL l\u00e9g\u00e8re. Il recherche ensuite en parall\u00e8le<\/p>\n<ul>\n<li>des shells web nouvellement \u00e9crits sur le disque<\/li>\n<li>des journaux de trafic pour l'exploitation CVE et l'acc\u00e8s au shell web<\/li>\n<li>la t\u00e9l\u00e9m\u00e9trie .NET pour extraire les IP et les payloads utiles de l'attaquant<\/li>\n<li>des IoC qui fusionnent les indicateurs de l'unit\u00e9 42 avec des donn\u00e9es extraites localement<\/li>\n<li>le comportement pr\u00e9- et post-exploitation.<\/li>\n<\/ul>\n<p>Tous les indicateurs confirm\u00e9s sont automatiquement bloqu\u00e9s.<\/p>\n<p>L'ex\u00e9cution se termine en faisant appara\u00eetre la rotation des cl\u00e9s machine, les liens vers le correctif de juillet 2025 et une vue centralis\u00e9e des r\u00e9sultats de la chasse aux menaces.<\/p>\n<h3>Cortex Cloud<\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Posture-Management-Release-Notes\/July-2025\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> version 1.2 peut trouver les vuln\u00e9rabilit\u00e9s et bloquer les activit\u00e9s d'exploitation connues li\u00e9es \u00e0 la cha\u00eene d'exploitation de CVE-2025-49704 et CVE-2025-49706 et signaler les activit\u00e9s d<\/p>\n<h3><a id=\"post-148172-_heading=h.lc29seauu9qr\"><\/a>Cortex\u00a0XDR et XSIAM<\/h3>\n<p>Les agents <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> (version\u00a08.7) dot\u00e9s des version\u00a01870-19884 (ou 1880-19902) des contenus bloquent les tentatives d\u2019exploitation connues li\u00e9es \u00e0 la cha\u00eene CVE-2025-49704\/CVE-2025-49706, et signalent les activit\u00e9s malveillantes associ\u00e9es \u00e0 la cha\u00eene CVE-2025-53770\/CVE-2025-53771.<\/p>\n<h3><a id=\"post-148172-_heading=h.5b02p0snaij4\"><\/a>Cortex\u00a0Xpanse<\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Xpanse<\/a> permet d\u2019identifier les appareils\u00a0SharePoint expos\u00e9s sur Internet et d\u2019alerter les \u00e9quipes de d\u00e9fense. Les clients peuvent activer les alertes pour SharePoint expos\u00e9 en s\u2019assurant que la r\u00e8gle d\u2019exposition de la surface d\u2019attaque\u00a0SharePoint Server est bien activ\u00e9e. Les incidents identifi\u00e9s peuvent \u00eatre consult\u00e9s dans le <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XPANSE\/2\/Cortex-Xpanse-Expander-User-Guide\/Threat-Response-Center\" target=\"_blank\" rel=\"noopener\">Threat Response Center<\/a> ou dans la vue incident d\u2019Expander. Ces r\u00e9sultats sont \u00e9galement disponibles pour les clients Cortex\u00a0XSIAM ayant souscrit au module\u00a0ASM.<\/p>\n<h2><a id=\"post-148172-_heading=h.rugnevdvbsp\"><\/a>Indicateurs de compromission<\/h2>\n<p>Le tableau\u00a02 pr\u00e9sente une liste des indicateurs associ\u00e9s \u00e0 l\u2019activit\u00e9 d\u2019exploitation de SharePoint observ\u00e9e par Unit\u00a042, accompagn\u00e9s de leur description.<\/p>\n<table style=\"width: 100.433%; height: 940px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px; text-align: center; width: 72.2853%;\"><b>Indicateur<\/b><\/td>\n<td style=\"height: 24px; text-align: center; width: 27.499%;\"><b>Description<\/b><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">107.191.58[.]76<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation, livrer <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">104.238.159[.]149<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation, livrer <span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">96.9.125[.]147<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation modules <span style=\"font-family: 'courier new', courier, monospace;\">qlj22mpc<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">bjcloiyq<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">139.144.199[.]41<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">89.46.223[.]88<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">45.77.155[.]170<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">154.223.19[.]106<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">185.197.248[.]131<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">149.40.50[.]15<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\"> 64.176.50[.]109<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\"> 149.28.124[.]70<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">206.166.251[.]228<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">95.179.158[.]42<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">86.48.9[.]38<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">128.199.240[.]182<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">212.125.27[.]102<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">91.132.95[.]60<\/span><\/td>\n<td style=\"text-align: left; height: 25px; width: 27.499%;\"><span style=\"font-weight: 400;\">Source d\u2019exploitation<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span><\/td>\n<td style=\"height: 48px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Fichier cr\u00e9\u00e9 apr\u00e8s ex\u00e9cution d\u2019une commande encod\u00e9e<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">C:\\PROGRA~1\\COMMON~1\\MICROS~1\\WEBSER~1\\15\\TEMPLATE\\LAYOUTS\\spinstall0.aspx<\/span><\/td>\n<td style=\"height: 48px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Fichier cr\u00e9\u00e9 apr\u00e8s ex\u00e9cution d\u2019une commande encod\u00e9e<\/span><\/td>\n<\/tr>\n<tr style=\"height: 50px;\">\n<td style=\"text-align: left; height: 50px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Program Files\\Common Files\\microsoft shared\\Web Server Extensions\\16\\TEMPLATE\\LAYOUTS\\debug_dev.js<\/span><\/td>\n<td style=\"height: 50px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Fichier cr\u00e9\u00e9 apr\u00e8s ex\u00e9cution d\u2019une commande\u00a0PowerShell<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">4A02A72AEDC3356D8CB38F01F0E0B9F26DDC5CCB7C0F04A561337CF24AA84030<\/span><\/td>\n<td style=\"height: 48px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Module\u00a0.NET <span style=\"font-family: 'courier new', courier, monospace;\">qlj22mpc<\/span>\u2013\u00a0premier hash observ\u00e9<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">B39C14BECB62AEB55DF7FD55C814AFBB0D659687D947D917512FE67973100B70<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Module .NET <span style=\"font-family: 'courier new', courier, monospace;\">bjcloiyq<\/span><\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; height: 48px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">FA3A74A6C015C801F5341C02BE2CBDFB301C6ED60633D49FC0BC723617741AF7<\/span><\/td>\n<td style=\"height: 48px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Module \u00a0NET \u2013\u00a0ciblant ViewState<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">390665BDD93A656F48C463BB6C11A4D45B7D5444BDD1D1F7A5879B0F6F9AAC7E<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Module\u00a0.NET<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">66AF332CE5F93CE21D2FE408DFFD49D4AE31E364D6802FFF97D95ED593FF3082<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Module\u00a0.NET<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; height: 25px; width: 72.2853%;\"><span style=\"font-family: 'courier new', courier, monospace;\">7BAF220EB89F2A216FCB2D0E9AA021B2A10324F0641CAF8B7A9088E4E45BEC95<\/span><\/td>\n<td style=\"height: 25px; text-align: left; width: 27.499%;\"><span style=\"font-weight: 400;\">Module\u00a0.NET<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; width: 72.2853%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514<br \/>\n<\/span><\/td>\n<td style=\"text-align: left; width: 27.499%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">spinstall0.aspx<\/span> webshell<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; width: 72.2853%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">33067028e35982c7b9fdcfe25eb4029463542451fdff454007832cf953feaf1e<\/span><\/td>\n<td style=\"text-align: left; width: 27.499%; height: 25px;\"><span style=\"font-family: georgia, palatino, serif;\"><span style=\"font-weight: 400;\">Empreinte <\/span>du ransomware 4L4MD4R<\/span><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"text-align: left; width: 72.2853%; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">]\/\/ice[.]theinnovationfactory[.]it\/static\/4l4md4r.exe<\/span><\/span><\/td>\n<td style=\"text-align: left; width: 27.499%; height: 48px;\">URL de t\u00e9l\u00e9chargement de <span style=\"font-weight: 400;\">l\u2019ex\u00e9cutable <\/span>du ransomware 4L4MD4R<\/td>\n<\/tr>\n<tr style=\"height: 26px;\">\n<td style=\"text-align: left; width: 72.2853%; height: 26px;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">bpp.theinnovationfactory[.]it<\/span><\/span><\/td>\n<td style=\"text-align: left; width: 27.499%; height: 26px;\"><span style=\"font-weight: 400;\">Domaine du serveur<\/span>\u00a0C2 du ransomware 4L4MD4R<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"text-align: left; width: 72.2853%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">145.239.97[.]206<\/span><\/span><\/td>\n<td style=\"text-align: left; width: 27.499%; height: 25px;\"><span style=\"font-weight: 400;\">Adresse IP du serveur C2 du ransomware 4L4MD4R<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tableau\u00a02. Indicateurs associ\u00e9s \u00e0 l\u2019activit\u00e9 d\u2019exploitation de SharePoint observ\u00e9e par Unit\u00a042<\/p>\n<h2><a id=\"post-148172-_heading=h.3ans2wbxu4oe\"><\/a>Ressources suppl\u00e9mentaires<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/07\/22\/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Interruption de l'exploitation active des vuln\u00e9rabilit\u00e9s SharePoint sur site<\/a> - Microsoft Security<\/li>\n<li><a href=\"https:\/\/www.brighttalk.com\/webcast\/10903\/649025?utm_source=PaloAltoNetworks&amp;utm_medium=brighttalk&amp;utm_campaign=649025\" target=\"_blank\" rel=\"noopener\">Unit 42 Threat Briefing |<\/a> Defending Against Active Microsoft SharePoint Exploits - Unit 42 Threat Briefing Webinar on BrightTALK (en anglais)<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Unit 42 a observ\u00e9 une exploitation active des derni\u00e8res vuln\u00e9rabilit\u00e9s Microsoft SharePoint. D\u00e9couvrez comment prot\u00e9ger votre organisation.<\/p>\n","protected":false},"author":23,"featured_media":148228,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8769,8850],"tags":[9376,9377,9378,9382,9379,9381,9380],"product_categories":[8956,8965,8973,8979,8955,9041,9046,9053,9077,9068,9155,9083,9151],"coauthors":[1025],"class_list":["post-148172","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-fr","category-vulnerabilities-fr","tag-cve-2025-49704-fr","tag-cve-2025-49706-fr","tag-cve-2025-53770-fr","tag-cve-2025-53771-fr","tag-microsoft-fr","tag-sharepoint-fr","tag-zero-day-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xpanse-fr","product_categories-cortex-xsoar-fr","product_categories-managed-threat-hunting-fr","product_categories-next-generation-firewall-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet) Exploitation active des vuln\u00e9rabilit\u00e9s de Microsoft SharePoint<\/title>\n<meta name=\"description\" content=\"Unit 42 a observ\u00e9 une exploitation active des derni\u00e8res vuln\u00e9rabilit\u00e9s Microsoft SharePoint. D\u00e9couvrez comment prot\u00e9ger votre organisation.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet)\" \/>\n<meta property=\"og:description\" content=\"Unit 42 a observ\u00e9 une exploitation active des derni\u00e8res vuln\u00e9rabilit\u00e9s Microsoft SharePoint. D\u00e9couvrez comment prot\u00e9ger votre organisation.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-31T16:16:42+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-04T15:15:03+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/02_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet) Exploitation active des vuln\u00e9rabilit\u00e9s de Microsoft SharePoint","description":"Unit 42 a observ\u00e9 une exploitation active des derni\u00e8res vuln\u00e9rabilit\u00e9s Microsoft SharePoint. D\u00e9couvrez comment prot\u00e9ger votre organisation.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","og_locale":"fr_FR","og_type":"article","og_title":"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet)","og_description":"Unit 42 a observ\u00e9 une exploitation active des derni\u00e8res vuln\u00e9rabilit\u00e9s Microsoft SharePoint. D\u00e9couvrez comment prot\u00e9ger votre organisation.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","og_site_name":"Unit 42","article_published_time":"2025-07-31T16:16:42+00:00","article_modified_time":"2025-08-04T15:15:03+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/02_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet)","datePublished":"2025-07-31T16:16:42+00:00","dateModified":"2025-08-04T15:15:03+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/"},"wordCount":5048,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/02_Vulnerabilities_1920x900.jpg","keywords":["CVE-2025-49704","CVE-2025-49706","CVE-2025-53770","CVE-2025-53771","Microsoft","SharePoint","zero-day"],"articleSection":["Menaces de grande envergure","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/","name":"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet) Exploitation active des vuln\u00e9rabilit\u00e9s de Microsoft SharePoint","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/02_Vulnerabilities_1920x900.jpg","datePublished":"2025-07-31T16:16:42+00:00","dateModified":"2025-08-04T15:15:03+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Unit 42 a observ\u00e9 une exploitation active des derni\u00e8res vuln\u00e9rabilit\u00e9s Microsoft SharePoint. D\u00e9couvrez comment prot\u00e9ger votre organisation.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/02_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/02_Vulnerabilities_1920x900.jpg","width":1920,"height":900},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Exploitation active des vuln\u00e9rabilit\u00e9s Microsoft\u00a0SharePoint (Mise \u00e0 jour le 31 juillet)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/148172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=148172"}],"version-history":[{"count":10,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/148172\/revisions"}],"predecessor-version":[{"id":149465,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/148172\/revisions\/149465"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/148228"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=148172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=148172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=148172"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=148172"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=148172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}