Introduction
Le mois de juillet 2025 s’est imposé comme l’un des plus critiques de l’année en matière de cybersécurité. Des failles de grande ampleur, parfois exploitées avant même la publication de leurs correctifs, ont ciblé des briques fondamentales de l’infrastructure numérique mondiale : Microsoft SharePoint, Windows, SQL Server, NetScaler, Chrome, composants firmware et solutions industrielles SCADA. Ce récapitulatif vous propose une lecture consolidée, stratégique et technique de ces événements, avec des recommandations orientées production.
Microsoft SharePoint : ToolShell, une attaque coordonnée sur les serveurs on-premise
C’est le nom de code donné à une chaîne d’exploitation particulièrement efficace, ayant visé les versions on-premise de SharePoint Server. La vulnérabilité principale, référencée CVE‑2025‑53770, permettait l’exécution de code à distance sans authentification. Elle a été utilisée dans le cadre d’une campagne ciblée contre plus de 400 organisations, allant d’administrations publiques à des entreprises du secteur de l’énergie.
Les attaquants ont combiné cette faille à d’autres vecteurs (CVE‑49704, CVE‑49706) pour contourner les protections ASP.NET et injecter des charges utiles directement via des URLs SharePoint. Le code malveillant s’exécutait ensuite dans le contexte du compte d’application, avec des privilèges élevés.
Les équipes de sécurité ont dû réagir en urgence : isolement des serveurs, rotation des clés MachineKey, et surveillance accrue du trafic sur les chemins /ToolPane.aspx.
Patch Tuesday : vulnérabilités critiques dans Windows, SQL Server et Office
Le 8 juillet, Microsoft a publié une vague de correctifs concernant plus de 120 vulnérabilités. Certaines d’entre elles présentaient un caractère immédiatement exploitable, notamment dans SQL Server (CVE‑2025‑49719) et dans les composants réseau de Windows (CVE‑2025‑47981, de type « wormable »).
Des failles dans le sous-système BitLocker ont également été corrigées (CVE‑2025‑48800, 48804, 48818), laissant imaginer des scénarios de contournement de chiffrement sur des postes perdus ou compromis. La vulnérabilité CVE‑2025‑47978, surnommée « NOTLogon », représente un risque sérieux sur les environnements Active Directory utilisant encore NTLM.
Face à ce volume, la priorité pour les administrateurs a été de classer les failles par vecteur d’attaque (réseau, local, élévation de privilèges) et de déployer les correctifs avec une granularité ciblée : serveurs exposés, environnements critiques, domaines de confiance.
Chrome : deux failles zero-day activement exploitées
Côté navigateur, Google Chrome n’a pas été épargné. Deux failles ont été corrigées dans la seconde moitié du mois :
- CVE‑2025‑6554, une vulnérabilité liée à la gestion mémoire du moteur JavaScript V8
- CVE‑2025‑6558, ciblant la couche graphique ANGLE
Les deux failles permettaient une exécution de code via du contenu web piégé. L’exploitation a été confirmée dans des campagnes de phishing ciblant des environnements Windows et Linux.
Il est fortement conseillé de vérifier les politiques de mise à jour automatique dans les environnements managés, et d’exiger la version minimale 125.0.6558.135 de Chrome.
Citrix NetScaler : contournement d’authentification (CVE‑2025‑5777)
Début juillet, une faille critique a été découverte dans les appliances Citrix ADC et Gateway. Elle permet à un attaquant non authentifié de contourner les contrôles AAA et d’accéder à des fonctions réseau internes.
Inscrite dès le 10 juillet dans le catalogue KEV de la CISA, cette vulnérabilité a été exploitée dans la nature selon plusieurs sources gouvernementales. Le scénario d’attaque s’est notamment produit sur des infrastructures VPN exposées sans filtrage IP ou MFA renforcé.
L’application du correctif est impérative, accompagnée d’un durcissement réseau : limitation des IPs autorisées, authentification forte, logs d’accès exhaustifs et désactivation des interfaces non utilisées.
UEFI Gigabyte : menace persistante au niveau firmware
Parmi les failles les plus silencieuses mais redoutables de ce mois, on note la publication de plusieurs vulnérabilités (CVE‑2025‑7026 à 7029) dans des firmwares UEFI de cartes mères Gigabyte.
Ces failles permettent le contournement de Secure Boot et la persistance de malware en dessous du système d’exploitation. En d’autres termes, elles rendent toute tentative de réinstallation du système inefficace si l’UEFI compromis n’est pas mis à jour.
Les professionnels en charge des postes critiques (serveurs de virtualisation, postes sensibles, endpoints administrateurs) doivent impérativement :
- Identifier les modèles impactés
- Mettre à jour le BIOS vers la dernière version publiée par Gigabyte
- Activer la validation d’intégrité UEFI (TPM, journal de démarrage, Secure Boot custom)
Oracle CPU – 165 failles corrigées dans de multiples produits
Oracle a publié sa Critical Patch Update (CPU) de juillet, incluant 165 failles, dont 9 critiques. Parmi les composants concernés : Oracle Database, WebLogic Server, Fusion Middleware, MySQL, VirtualBox.
Les vulnérabilités les plus sensibles permettent l’exécution de code à distance sans authentification. Elles concernent notamment les interfaces d’administration exposées, les connecteurs réseau de VirtualBox, et certains modules WebLogic avec gestion de sessions.
Les responsables applicatifs doivent auditer en profondeur l’exposition réelle de ces services (ports ouverts, WAF actifs, versioning) et prioriser les mises à jour, surtout sur les environnements de production exposés.
Synthèse des menaces critiques – Juillet 2025
| Composant | CVE / Nom | Type d’attaque | Statut |
|---|---|---|---|
| SharePoint | CVE‑53770/71 (ToolShell) | RCE sans auth | Exploité |
| Windows / SQL Server | CVE‑49719, 47981, etc. | Zero-day, élévation local | Corrigé |
| Chrome (Google) | CVE‑6554, 6558 | RCE navigateur | Corrigé |
| Citrix NetScaler | CVE‑5777 (CitrixBleed 2) | Auth bypass | Exploité |
| Firmware Gigabyte | CVE‑7026 à 7029 | Persist. UEFI | Patch BIOS |
| Oracle (WebLogic, DB) | 165 CVE (juillet CPU) | RCE, escalade | En attente |
Conclusion
Ce mois de juillet démontre une nouvelle fois que la surface d’attaque des entreprises est polymorphe. Du navigateur jusqu’au firmware, en passant par les applications métier ou les plateformes d’orchestration, chaque maillon peut être une porte d’entrée.
Les équipes sécurité doivent aborder ces menaces avec une approche structurée : audit, patching par criticité, durcissement réseau, contrôle des accès, supervision active. La réactivité et la visibilité restent les deux piliers d’une posture défensive efficace.
