FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

微软近日发布安全公告，披露一个影响本地版Exchange Server的高危漏洞（编号CVE-2025-53786，CVSS评分为8.0）。该漏洞在特定条件下可能允许攻击者提升权限，Outsider Security公司的Dirk-jan Mollema因报告此漏洞获得致谢。

混合部署环境存在特权升级风险

微软在公告中指出："在Exchange混合部署环境中，已获取本地Exchange服务器管理员权限的攻击者，可能进一步升级至组织关联云环境的权限，且不会留下易于检测和审计的痕迹。"这一风险源于混合配置下Exchange Server与Exchange Online共享相同的服务主体(service principal)。

微软补充说明，成功利用该漏洞可使攻击者在组织关联云环境中实现权限升级，且攻击痕迹难以追踪。但攻击实施的前提是威胁行为者已具备Exchange Server管理员权限。

官方修复建议与缓解措施

美国网络安全和基础设施安全局(CISA)在单独发布的公告中警告，若未修补该漏洞，可能危及组织Exchange Online服务的身份完整性。作为缓解措施，微软建议客户：

1. 检查混合部署环境的Exchange Server安全变更
2. 安装2025年4月发布的补丁（或更新版本）
3. 严格遵循配置指引

微软特别强调："若曾配置过Exchange Server与Exchange Online组织间的混合身份验证或OAuth认证但现已停用，务必重置服务主体的keyCredentials凭证。"

微软强化混合环境安全防护

与此同时，微软宣布本月起将临时拦截使用Exchange Online共享服务主体的EWS(Exchange Web Services)流量，旨在推动客户采用专用Exchange混合应用，提升混合环境安全态势。

关联威胁活动预警

CISA同期分析了利用近期披露的SharePoint漏洞（统称为ToolShell）部署的恶意组件，包括：

• 两个Base64编码的DLL二进制文件
• 四个ASPX(Active Server Page Extended)文件

这些恶意组件可获取ASP.NET应用配置中的机器密钥设置，并作为Web Shell执行命令和上传文件。CISA警告称："网络威胁行为者可能利用此恶意软件窃取加密密钥，通过Base64编码的PowerShell命令获取主机系统指纹并外泄数据。"

CISA还敦促各机构将已终止支持(EOL)的Exchange Server或SharePoint Server公开版本与互联网断开，并停止使用过时版本。

参考来源：

Microsoft Discloses Exchange Server Flaw Enabling Silent Cloud Access in Hybrid Setups

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）