Microsoft 與美國網絡安全和基礎設施安全局(CISA)週三深夜向企業發出警告,指 Exchange Server 混合部署存在高嚴重性漏洞,攻擊者可利用該漏洞從本地 Exchange 提升權限至雲端環境。
該安全漏洞編號為 CVE-2025-53786,Microsoft 評定其「更有可能被利用」。CISA 代理執行助理總監 Chris Butera 警告該漏洞可導致「混合雲端和本地環境的全域入侵」,強烈敦促所有組織實施 Microsoft 指引以降低風險。CISA 週四發布緊急響應指令,要求政府機構在 8 月 11 日前修復該問題。
Outsider Security 的研究員 Dirk-jan Mollema 向 Microsoft 報告了這個漏洞。Mollema 在 Black Hat 安全會議上展示了該漏洞的利用方式,引起業界高度關注。雖然 Microsoft 表示目前尚未發現該漏洞在現實中被利用,但該漏洞極有可能很快被政府黑客或犯罪集團利用。
混合部署架構為企業帶來安全風險
混合部署讓企業同時使用本地 Exchange 伺服器和雲端版本的 Exchange Online,兩個環境共享相同的服務主體進行身份驗證。這種設置讓企業可以在本地和雲端之間無縫移動郵箱,共享日曆資訊和統一管理用戶。
許多企業選擇混合部署因為它提供靈活性。企業可以逐步將郵箱遷移到雲端,同時保留某些敏感數據在本地以符合監管要求。員工無論使用本地或雲端郵箱都能查看彼此的日程安排,使用相同的全球地址簿。企業還可以集中控制所有郵件流量,確保安全和合規。
然而這種架構存在根本性安全問題。CVE-2025-53786 漏洞源於本地 Exchange Server 和 Exchange Online 在混合配置中共享相同的服務主體。攻擊者若已取得本地 Exchange 伺服器的管理員權限,可利用這個共享身份提升權限進入組織的雲端環境,而且不會留下容易檢測和審核的痕跡。
Microsoft 承認這個問題在 4 月份進行的安全更新中並未完全解決。該公司原本期望通過更新改善混合部署的安全性,但進一步調查發現 4 月份公告中概述的指引和配置步驟存在特定的安全隱患。
企業需立即採取的保護措施
企業必須立即檢查其 Exchange 環境是否受影響,受影響的版本包括 Exchange Server 2016 累積更新 23、Exchange Server 2019 累積更新 14 和 15,以及 Exchange Server 訂閱版 RTM。為提升安全,可以安裝 4 月份的修補程式或更新版本,企業需要在所有混合 Exchange 伺服器上套用這些更新,更新後重新運行 Exchange Server Health Checker 腳本以驗證配置。
Microsoft 計劃從本月開始暫時阻止使用共享服務主體的 Exchange Web Services 流量,到 10 月 31 日後將永久阻止使用共享服務主體。企業若不配置專用應用程式,混合功能將停止運作。
對於曾經配置但不再使用 Exchange 混合的組織,需要重置服務主體的密鑰憑證。這步驟極為重要,因為殘留的配置可能成為攻擊入口。企業應該檢查所有歷史配置並清理不再使用的設置。
攻擊風險評估與業務影響
該漏洞的利用雖然需要攻擊者首先獲得本地 Exchange 伺服器的管理員權限,但考慮到 Exchange 伺服器經常成為勒索軟件集團和國家支持的黑客目標,這個前提條件並不難達到。近期 SharePoint 的安全漏洞已被數據竊賊和勒索軟件集團利用,顯示攻擊者對 Microsoft 產品漏洞的快速反應能力。
成功利用該漏洞的攻擊者可獲得組織電子郵件、日曆和敏感業務通訊的完全存取權限。攻擊者能提升權限至 Exchange Online 的管理角色,潛在存取其他連接的 Microsoft 365 服務和身份基礎設施。更嚴重的是攻擊者可以在最小檢測下維持持久性,因為利用過程不會產生明顯的日誌、審計記錄或警報。
企業的安全團隊面臨檢測挑戰,現有的安全資訊和事件管理(SIEM)以及擴展檢測和響應(XDR)解決方案可能無法捕捉從本地端發起的後門權限提升。雲端審計日誌可能不會記錄源自本地的惡意活動,令事件響應和取證分析變得極其困難。
長期安全策略建議
企業應該重新評估其混合部署策略,雖然混合部署提供靈活性,但也增加了攻擊面。企業需要評估是否真正需要維持混合環境,或者可以完全遷移到雲端或本地。對於必須保持混合部署的企業,應該實施更嚴格的存取控制和監控措施。
加強身份和存取管理變得至關重要,企業應該實施多因素驗證,定期審查和輪換管理員憑證,實施最小權限原則。此外也應該考慮使用特權存取管理(PAM)解決方案來控制和監控管理員活動。
企業應該將 Exchange 伺服器隔離在專用網段中,實施嚴格的防火牆規則。監控異常的網絡流量模式,特別是本地和雲端環境之間的通訊。企業也可以整合跨本地和雲端的身份驗證事件的全面安全分析,部署異常檢測系統識別細微的權限提升技術,並定期進行安全審計和滲透測試,特別關注混合配置的弱點。
Exchange Server 2016 和 2019 都將在今年 10 月接近延伸支援結束,企業應該制定明確的升級或遷移計劃。考慮這是否是完全遷移到雲端或更新到最新 Exchange 版本的適當時機。制定詳細的遷移時間表和測試計劃,確保業務連續性不受影響。
來源:The Register