【安全资讯】微软警告Exchange混合部署中存在高危漏洞

概要：

微软近日警告客户，Exchange Server混合部署中存在一个高危漏洞（CVE-2025-53786），攻击者可能利用该漏洞在Exchange Online云环境中提升权限而不留下任何痕迹。这一漏洞影响Exchange Server 2016、2019及订阅版，可能导致组织域完全被攻陷。

主要内容：

微软在安全公告中指出，Exchange混合部署中，本地Exchange服务器与Exchange Online共享同一服务主体（service principal），用于两者之间的身份验证。攻击者若控制本地Exchange服务器，可能伪造或操纵受信任的令牌或API调用，由于云环境隐式信任本地服务器，这些操作将被视为合法。

此外，源自本地Exchange的操作并不总是在Microsoft 365中生成与恶意行为相关的日志，因此传统的基于云的审计（如Microsoft Purview或M365审计日志）可能无法捕获源自本地的安全漏洞。微软尚未观察到该漏洞在野利用，但分析显示攻击代码可能被开发以持续利用此漏洞，增加了其吸引力。

美国网络安全和基础设施安全局（CISA）发布单独公告，建议网络防御者安装微软2025年4月的Exchange Server热修复更新，并遵循微软的配置说明。CISA警告称，若不缓解此漏洞，可能导致“混合云和本地域完全被攻陷”。

近年来，出于经济动机和国家支持的黑客利用多个Exchange安全漏洞（如ProxyLogon和ProxyShell零日漏洞）入侵服务器。微软提醒管理员，Exchange 2016和2019将于10月结束扩展支持，建议迁移至Exchange Online或升级至Exchange Server订阅版（SE）。