Les équipes de Microsoft ont confirmé que cette vulnérabilité ne concernait que les versions locales de SharePoint Server, notamment 2016, 2019 et Subscription Edition. SharePoint Online, la version hébergée dans le cloud de Microsoft 365, n’est pas affectée. Selon plusieurs sources spécialisées en cybersécurité, notamment Arctic Wolf, Palo Alto Networks et Trend Micro, l’attaque repose sur une séquence combinée d’élévation de privilèges et d’exploitation d’un mécanisme de désérialisation mal protégée.
Les attaquants parviennent à contourner l’authentification via une requête POST spécifiquement forgée, visant l’URL tout en usurpant l’origine de la requête grâce à un header falsifié. Cette manœuvre permet le téléchargement d’un fichier ASPX baptisé spinstall0.aspx, qui installe un web shell à partir duquel l’attaquant peut extraire les clés MachineKey et ValidationKey. Avec ces éléments, il lui est possible de générer des charges utiles malveillantes encodées et exécutées automatiquement par le serveur.
L’attaque a été détectée dans plusieurs secteurs critiques, dont les services publics, les établissements de santé, les universités et certaines grandes entreprises. Au Royaume-Uni, le National Cyber Security Centre a confirmé que plusieurs organisations avaient été ciblées, et qu’un nombre limité d’entre elles avaient été effectivement compromises. Aux États-Unis, la CISA a réagi immédiatement en inscrivant la CVE 2025 53770 dans son catalogue des vulnérabilités exploitées activement, imposant aux agences fédérales l’application du correctif avant le 21 juillet.
Un correctif d'urgence pour commencer
Les premiers rapports font état d’environ 75 à 100 serveurs compromis à travers le monde, selon l’évaluation d’Eye Security. Des investigations complémentaires menées par Mandiant indiquent qu’un groupe d’origine chinoise pourrait être à l’origine de cette campagne, bien que Microsoft n’ait pas confirmé l’attribution.La réponse technique de Microsoft s’est traduite par la diffusion d’un correctif spécifique pour les versions Server 2019 et Subscription Edition dès le 20 juillet, et pour Server 2016 le lendemain. En parallèle, l’éditeur a publié des scripts de remédiation ainsi que des requêtes d’investigation à déployer dans Microsoft Defender, afin de faciliter la détection des artefacts associés à l’attaque.
Microsoft recommande en particulier de rechercher la présence du fichier spinstall0.aspx dans les répertoires d’applications SharePoint, de redémarrer le service IIS, et surtout de régénérer les clés MachineKey si le serveur a été exposé publiquement. Il est à noter que l’application du correctif seul ne suffit pas à éradiquer la compromission si celle-ci a déjà eu lieu : un audit forensique s’impose pour identifier la persistance d’un web shell ou d’une exfiltration préalable.
Microsoft choisit une contre-attaque "tous azimuts"
Plusieurs entreprises de cybersécurité soulignent que cette campagne s’inscrit dans une tendance croissante à l’exploitation de failles sur des environnements locaux mal entretenus. Le mode opératoire observé montre une accélération dans la capacité des attaquants à tirer parti des vulnérabilités découvertes lors de concours de type Pwn2Own – en l’occurrence, la démonstration initiale de la faille avait eu lieu en mai 2025. Cette évolution interroge la capacité des DSI à maintenir une posture de sécurité robuste sur des infrastructures historiques, souvent déconnectées des flux de mises à jour automatisées et de la supervision centralisée du cloud.L'incident met en lumière la nécessité pour les entreprises exploitant encore des versions on-premise de SharePoint de renforcer leurs capacités de surveillance, d’implémenter une segmentation réseau stricte et d’intégrer des mécanismes de détection comportementale via des solutions de type EDR ou XDR.
Au-delà de l’aspect technique, cette faille révèle un basculement dans la manière dont Microsoft répond aux incidents critiques. Plutôt que de se limiter à un correctif, l’éditeur active l’ensemble de son écosystème (centre de réponse MSRC, community Defender, script GitHub, requêtes d’Advanced Hunting) pour accompagner ses clients dans un processus complet de remédiation. Ce changement de posture ne résulte pas uniquement d’un repositionnement stratégique en tant que partenaire de cybersécurité, mais s’explique aussi par des pressions structurelles plus larges. Microsoft fait face à une montée en puissance de menaces sophistiquées qui ciblent spécifiquement ses composants d’infrastructure — Exchange, Azure Active Directory, SharePoint — avec des impacts potentiellement systémiques pour ses clients.
Un réponse "holistique" face à la défiance
L’éditeur est donc contraint d’étendre son rôle au-delà de la simple publication de correctifs, en fournissant des outils de détection, des requêtes de surveillance proactive, des guides de remédiation, et un appui communautaire pour limiter la portée des attaques et accélérer le retour à la normale.Cette mobilisation technique traduit aussi un environnement concurrentiel et politique plus tendu. Dans plusieurs régions du monde, notamment en Europe, Microsoft est confronté à un désengagement partiel de certains clients publics et privés, motivé par des préoccupations croissantes en matière de souveraineté numérique, de dépendance technologique et de conformité réglementaire. Ce climat pousse l’éditeur à démontrer sa capacité à agir de manière responsable et transparente dans la gestion des incidents de sécurité, en réaffirmant sa légitimité comme acteur de confiance.
En mobilisant l’ensemble de son écosystème, Microsoft cherche à éviter que ces épisodes ne viennent alimenter la défiance ou renforcer les arguments des partisans de la désaméricanisation du cloud et des logiciels d’entreprise. Il s’agit donc autant d’un volontarisme technique que d’une adaptation à une double réalité : celle d’un paysage de menaces désormais continu et hautement technique, et celle d’un marché globalement plus fragmenté, où la souveraineté, la conformité et la réassurance deviennent des critères aussi décisifs que la performance technique. Microsoft, étant devenu au fil du temps une
« infrastructure essentielle », n’a plus le choix : il lui faut assumer, dans ces situations, un rôle d’opérateur de continuité numérique.
Une évolution profonde des modes d'attaque
Enfin, les implications à moyen terme dépassent le périmètre de SharePoint. Elles renvoient à une évolution profonde des modèles d’attaque, dans lesquels l’accès initial permet de déployer des moyens de persistance sophistiqués, rendant l’éradication difficile sans reconstruction complète des serveurs. Le cas ToolShell rappelle que la surface d’attaque ne se limite plus aux failles inédites mais s’étend à l’exploitation résiduelle de systèmes corrigés, dans un jeu d’avance-recul permanent entre attaquants et défenseurs.Pour les entreprises, cette réalité impose de dépasser la simple logique du patch pour adopter une stratégie proactive, mêlant cartographie des expositions, remédiation immédiate, durcissement de la configuration et préparation à la réponse à incident. Microsoft aura, cette fois, joué son rôle de vigie. Aux organisations maintenant de renforcer leur propre vigilance.
