La découverte de deux failles au sein de Microsoft SharePoint a abouti à une vague de cyberattaques dans le monde entier. En exploitant les deux vulnérabilités, des cybercriminels cherchent à compromettre des dizaines de milliers de serveurs appartenant à des centaines d’entreprises. Une grande partie des offensives sont orchestrées par des pirates mandatés par la Chine, estime Microsoft, qui a déployé un nouveau correctif pour colmater les brèches. Les cybercriminels chinois se sont notamment attaqués à des agences gouvernementales américaines, dont l’agence chargée des armes nucléaires et l’agence de la recherche médicale.
En parallèle, des pirates chinois se servent des failles de SharePoint pour déployer un ransomware. Dans un billet de blog publié ce 23 juillet 2025, Microsoft indique avoir découvert qu’un gang, répertorié sous le nom de code Storm-2603, s’appuie sur les vulnérabilités pour propager un redoutable virus capable de chiffrer les données d’un système. Baptisé Warlock, le ransomware est proposé par le biais d’un abonnement par un groupuscule criminel du même nom.
À lire aussi : Cyberattaque en cours – Google découvre une vaste campagne de pillage de données
Vol de données et ransomware
Selon Microsoft, les attaques reposant sur Warlock ont commencé le 18 juillet. Une fois les réseaux des victimes piratés, les hackers de Storm-2603 utilisent un outil pirate, appelé Mimikatz, pour voler les mots de passe et les identifiants des utilisateurs. Ensuite, les pirates se déplacent d’un ordinateur à l’autre dans le réseau, en exécutant du code malveillant et en modifiant les règles de sécurité internes de Windows. Enfin, ils téléchargent et installent le virus Warlock, qui va chiffrer les données.
Pour le moment, Microsoft s’avoue incapable « de déterminer avec certitude » les « véritables objectifs » de Storm-2603, bien que le gang ait déjà été surpris en train de déployer des « ransomwares Warlock et LockBit » par le passé. En d’autres termes, on ignore si le groupe criminel cherche à gagner de l’argent ou à récolter des données dans le cadre d’une opération d’espionnage.
À lire aussi : Alerte au ransomware – les hackers d’Interlock multiplient les cyberattaques, alerte le FBI
Plus de 400 serveurs encore et toujours vulnérables
Quoi qu’il en soit, les failles identifiées dans le cœur de Microsoft SharePoint font peser de lourdes menaces sur les serveurs de centaines d’entreprises. Shadowserver indique que plus de 420 serveurs SharePoint accessibles depuis Internet sont encore vulnérables.
Thanks to a scan conducted by @leakix.bsky.social, we have shared SharePoint IPs confirmed vulnerable to CVE-2025-53770, CVE-2025-53771.
424 SharePoint IPs found on 2025-07-23. One-off data in www.shadowserver.org/what-we-do/n…
Tree map overview: dashboard.shadowserver.org/statistics/c…
— The Shadowserver Foundation (@shadowserver.bsky.social) 24 juillet 2025 à 09:05
Ils pourraient se retrouver dans le viseur de cybercriminels à n’importe quel moment. L’organisation à but non lucratif demande à toutes les entités disposant d’un serveur SharePoint sur site d’installer les correctifs mis à disposition par Microsoft. Comme l’explique d’ailleurs Microsoft, « d’autres groupes malveillants continueront probablement à exploiter ces failles pour attaquer les serveurs SharePoint non mis à jour ». C’est pourquoi il y a « urgence » que toutes les organisations vulnérables prennent le temps « d’appliquer immédiatement les correctifs de sécurité et les mesures de protection nécessaires ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft
