【火速更新】微软Exchange混合部署关键漏洞CVE-2025-53786

联邦机构紧急响应

网络安全和基础设施安全局（CISA）于8月7日发布第25-02号紧急指令，要求联邦机构在8月11日星期一东部时间上午9:00之前解决微软Exchange混合部署中的这一高危漏洞。该漏洞CVSS评分为8.0分（满分10分），允许拥有本地Exchange服务器管理权限的攻击者在连接的Microsoft 365云环境中提升权限，且不会留下易于检测的审计痕迹。

全球受影响情况

漏洞扫描显示，美国、德国和俄罗斯是暴露易受攻击服务器数量最多的三个国家。

微软和CISA警告称，对于未实施2025年4月安全指南的Exchange混合配置组织来说，存在"重大且不可接受的风险"。

漏洞技术细节

该漏洞可追溯至2025年4月18日，当时微软宣布了针对混合部署的Exchange服务器安全变更，并发布了非安全热修复更新。最初这些变更被描述为一般安全改进，但经过进一步调查后，微软确认了需要分配CVE编号的特定安全隐患。

微软现在强烈建议安装2025年4月或更新的热修复程序，并在Exchange服务器混合环境中实施配置更改。该漏洞的存在是因为在混合配置中，Exchange服务器和Exchange Online共享相同的服务主体，为权限提升攻击创造了途径。

攻击演示与应对措施

报告该漏洞的安全研究员Dirk-Jan Mollema（来自Outsider Security）在Black Hat USA 2025大会上演示了攻击方法，展示了威胁行为者如何伪造有效期为24小时的身份验证令牌，同时绕过条件访问策略。

尽管尚未确认有活跃攻击，微软仍将该漏洞标记为"极有可能被利用"。CISA代理局长Madhu Gottumukkala强调紧迫性，表示该机构"正在采取紧急行动来缓解这一漏洞，它对美国民众依赖的联邦系统构成了重大且不可接受的风险"。

组织必须安装微软2025年4月的Exchange服务器热修复更新，部署专用的Exchange混合应用程序，并清理遗留的服务主体凭据。作为向更安全的Graph API架构过渡的一部分，微软计划在2025年10月31日后永久阻止使用共享服务主体的Exchange Web Services流量。

为了有效防范风险，微软与CISA建议立即执行以下操作：

• 安装补丁：应用微软在2025年4月发布的Hotfix（及之后更新），覆盖Exchange Server 2016 CU23、Exchange 2019 CU14/CU15，以及Exchange Subscription Edition RTM。
• 部署专属混合连接应用：不要再使用共享服务主体，迁移至微软推荐的专属Exchange Hybrid App，提升安全边界并支持更细粒度权限控制 。
• 重置服务主体证书：对于已启用或曾用混合/OAuth的环境，务必清除旧凭证以阻断潜在滥用。
• 执行Health Checker工具：扫描本地Exchange环境，识别版本、补丁水平、混合配置状态，以及存在的安全风险。

来源网络，如有侵权请联系删除