微软披露Exchange Server漏洞:攻击者可静默获取混合部署环境云访问权限

微软近日发布安全公告,披露一个影响本地版Exchange Server的高危漏洞(编号CVE-2025-53786,CVSS评分为8.0)。该漏洞在特定条件下可能允许攻击者提升权限,Outsider Security公司的Dirk-jan Mollema因报告此漏洞获得致谢。

混合部署环境存在特权升级风险

微软在公告中指出:"在Exchange混合部署环境中,已获取本地Exchange服务器管理员权限的攻击者,可能进一步升级至组织关联云环境的权限,且不会留下易于检测和审计的痕迹。"这一风险源于混合配置下Exchange Server与Exchange Online共享相同的服务主体(service principal)。

微软补充说明,成功利用该漏洞可使攻击者在组织关联云环境中实现权限升级,且攻击痕迹难以追踪。但攻击实施的前提是威胁行为者已具备Exchange Server管理员权限。

官方修复建议与缓解措施

美国网络安全和基础设施安全局(CISA)在单独发布的公告中警告,若未修补该漏洞,可能危及组织Exchange Online服务的身份完整性。作为缓解措施,微软建议客户:

  1. 检查混合部署环境的Exchange Server安全变更
  2. 安装2025年4月发布的补丁(或更新版本)
  3. 严格遵循配置指引

微软特别强调:"若曾配置过Exchange Server与Exchange Online组织间的混合身份验证或OAuth认证但现已停用,务必重置服务主体的keyCredentials凭证。"

微软强化混合环境安全防护

与此同时,微软宣布本月起将临时拦截使用Exchange Online共享服务主体的EWS(Exchange Web Services)流量,旨在推动客户采用专用Exchange混合应用,提升混合环境安全态势。

关联威胁活动预警

CISA同期分析了利用近期披露的SharePoint漏洞(统称为ToolShell)部署的恶意组件,包括:

  • 两个Base64编码的DLL二进制文件
  • 四个ASPX(Active Server Page Extended)文件

这些恶意组件可获取ASP.NET应用配置中的机器密钥设置,并作为Web Shell执行命令和上传文件。CISA警告称:"网络威胁行为者可能利用此恶意软件窃取加密密钥,通过Base64编码的PowerShell命令获取主机系统指纹并外泄数据。"

CISA还敦促各机构将已终止支持(EOL)的Exchange Server或SharePoint Server公开版本与互联网断开,并停止使用过时版本。

相关推荐
echoyu.22 分钟前
微服务-网络模型与服务通信方式openfein
网络·spring cloud·微服务·架构·openfein
2301_8098152525 分钟前
网络协议——UDP&TCP协议
网络·网络协议·udp
Yeats_Liao1 小时前
Java网络编程(一):从BIO到NIO的技术演进
java·网络·nio
ISACA中国1 小时前
《第四届数字信任大会》精彩观点:腾讯经验-人工智能安全风险之应对与实践|从十大风险到企业级防护架构
人工智能·安全·架构·漏洞案例·大模型越狱·企业级防护
GIS数据转换器2 小时前
2025无人机在低空物流中的应用实践
大数据·网络·人工智能·安全·无人机
无小道3 小时前
了解交换机,集线器,中继器,路由器
网络
2501_920047033 小时前
docker-容器网络类型
网络·docker·容器
小白iP代理4 小时前
动态住宅IP vs. 静态数据中心IP:未来趋势与当前选择
网络·网络协议·tcp/ip
Yeats_Liao4 小时前
Java网络编程(三):NIO核心组件Channel通道详解
java·网络·nio
憧憬成为原神糕手4 小时前
Udp 和 Tcp socket的一般编程套路(笔记)
网络·tcp/ip·udp