Sérülékenység a hibrid Exchange telepítésekben
A Microsoft figyelmeztette ügyfeleit egy sérülékenységről (CVE-2025-53786) az Exchange Server hibrid telepítéseiben, amely lehetővé teheti a támadók számára, hogy észrevétlenül növeljék jogosultságaikat az Exchange Online felhőalapú környezetekben. Az Exchange hibrid konfigurációk összekapcsolják az on-prem Exchange szervereket az Exchange Online-nal (a Microsoft 365 része), lehetővé téve az e-mail és naptár funkciók zökkenőmentes integrációját az on-prem és a felhőalapú postafiókok között, beleértve a megosztott naptárakat, a globális címlistákat és az e-mail forgalmat.
A hibrid Exchange telepítésekben azonban az on-prem Exchange Server és az Exchange Online között van egy egy megosztott identitás, amelyet a két környezet közötti hitelesítéshez használnak. A megosztott identitás kihasználásával az on-prem Exchange-et kompromittált támadók potenciálisan hamisíthatnak vagy manipulálhatnak olyan megbízható tokeneket vagy API-hívásokat, amelyeket az Exchange Online legitimként fogad el, mivel implicit módon megbízik az on-prem szerverben.
Ezenkívül az on-prem Exchange-ből származó műveletek nem mindig generálnak rosszindulatú viselkedéssel kapcsolatos naplókat a Microsoft 365-ben; ezért a hagyományos felhőalapú felügyelet (például a Microsoft Purview vagy az M365 auditnaplók) nem feltétlenül rögzíti a biztonsági eseményeket, ha azok az on-prem részen keletkeztek.
A sérülékenység az Exchange Server 2016 és az Exchange Server 2019 rendszereket, valamint a Microsoft Exchange Server Subscription Edition legújabb verzióját érinti.
Bár a Microsoft még nem észlelte a sérülékenység kihasználását, a vállalat „Exploitation More Likely” minősítéssel látta el, mert elemzései szerint olyan exploit kód fejleszthető, amely következetesen kihasználja ezt a hibát, növelve annak vonzerejét a támadók számára. Az amerikai CISA figyelmeztetett, hogy a sérülékenység javításának elmulasztása a hibrid felhő és az on-prem teljes domain kompromittálódáshoz vezethet, és javasolt leválasztani az internetről azokat a nyilvános szervereket, amelyek az Exchange Server vagy a SharePoint Server end-of-life (EOL) vagy end-of-service verzióit futtatják.