微软披露Exchange Server漏洞:攻击者可静默获取混合部署环境云访问权限
微软近日发布安全公告,披露一个影响本地版Exchange Server的高危漏洞(编号CVE-2025-53786,CVSS评分为8.0)。该漏洞在特定条件下可能允许攻击者提升权限,Outsider Security公司的Dirk-jan Mollema因报告此漏洞获得致谢。
混合部署环境存在特权升级风险
微软在公告中指出:"在Exchange混合部署环境中,已获取本地Exchange服务器管理员权限的攻击者,可能进一步升级至组织关联云环境的权限,且不会留下易于检测和审计的痕迹。"这一风险源于混合配置下Exchange Server与Exchange Online共享相同的服务主体(service principal)。
微软补充说明,成功利用该漏洞可使攻击者在组织关联云环境中实现权限升级,且攻击痕迹难以追踪。但攻击实施的前提是威胁行为者已具备Exchange Server管理员权限。
官方修复建议与缓解措施
美国网络安全和基础设施安全局(CISA)在单独发布的公告中警告,若未修补该漏洞,可能危及组织Exchange Online服务的身份完整性。作为缓解措施,微软建议客户:
- 检查混合部署环境的Exchange Server安全变更
- 安装2025年4月发布的补丁(或更新版本)
- 严格遵循配置指引
微软特别强调:"若曾配置过Exchange Server与Exchange Online组织间的混合身份验证或OAuth认证但现已停用,务必重置服务主体的keyCredentials凭证。"
微软强化混合环境安全防护
与此同时,微软宣布本月起将临时拦截使用Exchange Online共享服务主体的EWS(Exchange Web Services)流量,旨在推动客户采用专用Exchange混合应用,提升混合环境安全态势。
关联威胁活动预警
CISA同期分析了利用近期披露的SharePoint漏洞(统称为ToolShell)部署的恶意组件,包括:
- 两个Base64编码的DLL二进制文件
- 四个ASPX(Active Server Page Extended)文件
这些恶意组件可获取ASP.NET应用配置中的机器密钥设置,并作为Web Shell执行命令和上传文件。CISA警告称:"网络威胁行为者可能利用此恶意软件窃取加密密钥,通过Base64编码的PowerShell命令获取主机系统指纹并外泄数据。"
CISA还敦促各机构将已终止支持(EOL)的Exchange Server或SharePoint Server公开版本与互联网断开,并停止使用过时版本。