Microsoft heeft een advies vrijgegeven voor een hoogwaardig beveiligingsfout dat treffende versies van Exchange Server beïnvloedt die een aanvaller onder bepaalde voorwaarden verhoogde privileges kunnen krijgen.
De kwetsbaarheid, gevolgd als CVE-2025-53786draagt een CVSS -score van 8,0. Dirk-Jan Mollema met buitenstaander beveiliging is erkend voor het melden van de bug.
“In een uitwisselingshybride implementatie kan een aanvaller die voor het eerst administratieve toegang krijgt tot een on-premises Exchange-server mogelijk escaleren voor privileges in de verbonden cloudomgeving van de organisatie zonder gemakkelijk detecteerbare en auditeerbare sporen achter te laten,” zei de tech-gigant in de waarschuwing.
“Dit risico ontstaat omdat Exchange Server en Exchange Online dezelfde service -directeur delen in hybride configuraties.”
Succesvolle exploitatie van de fout kan een aanvaller in staat stellen voorrechten te escaleren in de verbonden cloudomgeving van de organisatie zonder gemakkelijk detecteerbare en auditeerbare sporen achter te laten, voegde het bedrijf eraan toe. De aanval hangt echter af van de dreigingsacteur die al toegang heeft tot beheerder tot een uitwisselingsserver.
De US Cybersecurity and Infrastructure Security Agency (CISA), in een eigen bulletin, zei dat de kwetsbaarheid de identiteitsintegriteit van de online service van een organisatie zou kunnen beïnvloeden als het niet is gepakt.
Als mitigaties worden klanten aanbevolen om Exchange Server -beveiligingswijzigingen voor hybride implementaties te beoordelen, de hotfix (of nieuwer) van april 2025 te installeren en de configuratie -instructies te volgen.
“Als u eerder Exchange Hybrid of OAuth -authenticatie tussen Exchange Server en uw Exchange Online -organisatie hebt geconfigureerd, maar deze niet langer gebruikt, zorg er dan voor dat u de KeyCredentials van de Service -directeur opnieuw instelt,” zei Microsoft.
In een presentatie op de Black Hat USA 2025 Security Conference zei Mollema dat versies van Exchange Server een certificaatreferentie hebben dat wordt gebruikt om zich te verifiëren om online uit te wisselen en OAuth toe te staan in hybride scenario’s.
Deze certificaten kunnen worden gebruikt om service-to-service (S2S) acteur tokens aan te vragen bij Microsoft’s Access Control Service (ACS), waardoor uiteindelijk ongebonden toegang tot Exchange Online en SharePoint biedt zonder voorwaardelijke toegang of beveiligingscontroles.
Wat nog belangrijker is, deze tokens kunnen worden gebruikt om zich voor te doen als een hybride gebruiker binnen de huurder gedurende een periode van 24 uur wanneer de eigendom “TrustedFordelegation” is ingesteld en geen logboeken achterlaten wanneer ze worden uitgegeven. Als mitigaties is Microsoft van plan om de verplichte scheiding van wisselkoers te handhaven en online online service-principes te uitwisselen tegen oktober 2025.
De ontwikkeling komt omdat de Windows -maker zei dat het tijdelijk zal beginnen met het tijdelijk blokkeren van Exchange Web Services (EWS) -verkeer met behulp van de Exchange Online Shared Service Principal die deze maand begint in een poging om de klant -acceptatie van de speciale Exchange Hybrid -app te vergroten en de beveiligingshouding van de hybride omgeving te verbeteren.
Het advies van Microsoft voor CVE-2025-53786 valt ook samen met de analyse van CISA van verschillende kwaadaardige artefacten die zijn ingezet na de exploitatie van recent bekendgemaakte SharePoint-fouten, gezamenlijk gevolgd als toolshell.
Dit omvat twee Base64-gecodeerde DLL-binaries en vier Active Server Page Extended (ASPX) -bestanden die zijn ontworpen om machinele toetsinstellingen op te halen in de configuratie van een ASP.NET-applicatie en fungeren als een web shell om opdrachten uit te voeren en bestanden te uploaden.
“Acteurs van cyberdreigingen kunnen deze malware gebruiken om cryptografische toetsen te stelen en een Base64-gecodeerd PowerShell-commando uit te voeren om het hostsysteem vingerafdrukken en gegevens te exfiltreren,” zei het bureau.
CISA dringt er ook bij entiteiten op aan om openbare versies van Exchange Server of SharePoint-server los te koppelen die hun einde van de levensduur (EOL) of einde-of-service van internet hebben bereikt, om nog maar te zwijgen van het gebruik van verouderde versies.
