Une faille critique de type RCE (Remote Code Execution) affectant Microsoft SharePoint Server — référencée sous le nom CVE-2025-32003 — est actuellement activement exploitée par des acteurs malveillants. Cette vulnérabilité a été détectée dans plusieurs versions populaires de SharePoint, souvent utilisées dans des environnements d’entreprise sensibles.
Les autorités de cybersécurité, dont la CISA (Cybersecurity and Infrastructure Security Agency), ont émis un avertissement officiel après avoir constaté des campagnes actives d’exploitation de cette faille.
Détails techniques de la vulnérabilité
Identifiant : CVE-2025-32003
Type de faille : Exécution de code à distance (RCE)
Score CVSS : 8.8 (Critique)
Niveau d’accès requis : Authentification simple (non administrateur)
Impact potentiel : Contrôle complet du serveur ciblé, accès aux fichiers internes, déplacement latéral dans le réseau
Cette vulnérabilité réside dans la manière dont SharePoint traite certains appels via son moteur de rendu interne. Un utilisateur connecté, même avec peu de privilèges, peut exploiter un défaut de validation pour injecter et exécuter du code arbitraire sur le serveur, ouvrant la voie à un contrôle total du système.
Pourquoi cette vulnérabilité est-elle particulièrement préoccupante ?
Exploitation active avant correctif généralisé
Des preuves tangibles (indicateurs de compromission, reverse engineering, signatures de malwares) indiquent que la vulnérabilité est utilisée dans la nature, notamment dans des attaques ciblées contre des institutions publiques, des entreprises du secteur énergétique et des infrastructures critiques.Large base d’installation vulnérable
SharePoint est utilisé par des milliers d’organisations pour stocker et partager des documents internes. La nature même de cet outil en fait un point d’entrée stratégique : s’il est compromis, l’attaquant peut accéder à des données confidentielles ou étendre son contrôle à d’autres systèmes connectés.
Versions concernées
La faille affecte les versions suivantes de Microsoft SharePoint Server :
SharePoint Server Subscription Edition (SE)
SharePoint Server 2019
SharePoint Server 2016
Microsoft a confirmé que les environnements cloud (SharePoint Online) ne sont pas concernés. Toutefois, tous les déploiements on-premises sont potentiellement vulnérables.
Patch et recommandations de Microsoft
Dans le cadre de son Patch Tuesday de juillet 2025, Microsoft a publié une mise à jour de sécurité corrigeant la vulnérabilité. La firme recommande aux administrateurs système de :
Déployer immédiatement les correctifs disponibles
Effectuer un audit de sécurité sur les serveurs SharePoint pour identifier toute activité suspecte
Restreindre les droits des utilisateurs, particulièrement sur les comptes à privilèges intermédiaires
Activer la journalisation avancée (audit logs) pour suivre toute tentative d’accès ou de modification anormale
Appliquer le principe de moindre privilège sur les comptes SharePoint utilisés en interne
Exploitation dans la nature : ce que l’on sait
Les premières analyses de l’exploitation de CVE-2025-32003 ont été menées par des chercheurs en sécurité indépendants, notamment à partir de sandboxing de payloads, et de recherches de comportements anormaux dans les logs IIS.
Ils ont identifié que certains attaquants utilisent cette faille pour :
Installer des webshells dans SharePoint pour exfiltrer des fichiers ou injecter du code persistant
Lancer des attaques de mouvement latéral, ciblant Active Directory ou d’autres applications d’entreprise
Intégrer SharePoint comme point relais dans des chaînes d’attaque plus larges, notamment dans des campagnes APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE (Advanced Persistent Threat)
Cette faille, symptôme d’une problématique plus large
L’attaque exploitant CVE-2025-32003 s’inscrit dans une tendance alarmante : les outils collaboratifs sont devenus des cibles de choix pour les cybercriminels. Alors qu’ils étaient autrefois perçus comme de simples auxiliaires de productivité, ils sont aujourd’hui au cœur de l’infrastructure numérique de nombreuses entreprises.
Les environnements hybrides et les intégrations multiples (CRM, ERP, Teams, OneDrive, etc.) font de ces outils des points d’entrée complexes à protéger.
Recommandations stratégiques pour les responsables IT et RSSI
Prioriser la mise à jour des serveurs SharePoint on-premises
Déployer une surveillance comportementale renforcée (via EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner/XDR) autour de SharePoint
Éduquer les utilisateurs sur les bonnes pratiques d’authentification (MFA, mots de passe robustes)
Effectuer un pentest ciblé sur les environnements collaboratifs
Mettre en place une analyse régulière des vulnérabilités avec outils comme Nessus, Qualys ou OpenVAS
📌 À retenir
CVE-2025-32003 est une vulnérabilité critique affectant SharePoint Server, permettant à des utilisateurs authentifiés d’exécuter du code à distance.
Elle est déjà exploitée activement, ce qui en fait une menace urgente à traiter.
Microsoft a publié des correctifs et recommande une application immédiate.
Les entreprises doivent renforcer leurs protections autour des outils de collaboration, désormais au cœur des stratégies d’attaque.
Source : CybersecurityNews + Microsoft Security Response Center (MSRC) – Juillet 2025