微软披露Exchange Server漏洞:攻击者可静默获取混合部署环境云访问权限

微软近日发布安全公告,披露一个影响本地版Exchange Server的高危漏洞(编号CVE-2025-53786,CVSS评分为8.0)。该漏洞在特定条件下可能允许攻击者提升权限,Outsider Security公司的Dirk-jan Mollema因报告此漏洞获得致谢。

混合部署环境存在特权升级风险

微软在公告中指出:"在Exchange混合部署环境中,已获取本地Exchange服务器管理员权限的攻击者,可能进一步升级至组织关联云环境的权限,且不会留下易于检测和审计的痕迹。"这一风险源于混合配置下Exchange Server与Exchange Online共享相同的服务主体(service principal)。

微软补充说明,成功利用该漏洞可使攻击者在组织关联云环境中实现权限升级,且攻击痕迹难以追踪。但攻击实施的前提是威胁行为者已具备Exchange Server管理员权限。

官方修复建议与缓解措施

美国网络安全和基础设施安全局(CISA)在单独发布的公告中警告,若未修补该漏洞,可能危及组织Exchange Online服务的身份完整性。作为缓解措施,微软建议客户:

  1. 检查混合部署环境的Exchange Server安全变更
  2. 安装2025年4月发布的补丁(或更新版本)
  3. 严格遵循配置指引

微软特别强调:"若曾配置过Exchange Server与Exchange Online组织间的混合身份验证或OAuth认证但现已停用,务必重置服务主体的keyCredentials凭证。"

微软强化混合环境安全防护

与此同时,微软宣布本月起将临时拦截使用Exchange Online共享服务主体的EWS(Exchange Web Services)流量,旨在推动客户采用专用Exchange混合应用,提升混合环境安全态势。

关联威胁活动预警

CISA同期分析了利用近期披露的SharePoint漏洞(统称为ToolShell)部署的恶意组件,包括:

  • 两个Base64编码的DLL二进制文件
  • 四个ASPX(Active Server Page Extended)文件

这些恶意组件可获取ASP.NET应用配置中的机器密钥设置,并作为Web Shell执行命令和上传文件。CISA警告称:"网络威胁行为者可能利用此恶意软件窃取加密密钥,通过Base64编码的PowerShell命令获取主机系统指纹并外泄数据。"

CISA还敦促各机构将已终止支持(EOL)的Exchange Server或SharePoint Server公开版本与互联网断开,并停止使用过时版本。

相关推荐
情深不寿31711 小时前
序列化和反序列化
linux·网络·c++·tcp/ip
tuokuac11 小时前
如何确定虚拟机的IP
网络·网络协议·tcp/ip
flyliu11 小时前
常见的攻击方式有哪些,如何防御
前端·安全
Reicher13 小时前
Wi-Fi技术——MAC特性
网络·信息与通信
额呃呃13 小时前
阻塞,非阻塞,同步,异步的理解
linux·服务器·网络
GalaxyPokemon14 小时前
IPv4和IPv6的主要区别,以及常见的过渡策略有哪些
网络·智能路由器
静若繁花_jingjing15 小时前
网络_协议
网络
CaracalTiger16 小时前
网站漏洞早发现:cpolar+Web-Check安全扫描组合解决方案
java·开发语言·前端·python·安全·golang·wpf
❀͜͡傀儡师16 小时前
对于Linux下的海量文件传输,rsync 是远比 scp 更优。
linux·运维·网络·rsync
m0_6613162318 小时前
libmodbus移植
网络