美国网络安全与基础设施安全局(CISA)已发布紧急指令,要求所有联邦文职行政部门(FCEB)机构在美国东部时间周一上午 9 点前修复一个严重的 Microsoft Exchange 混合部署漏洞(编号 CVE-2025-53786)。
联邦文职行政部门(FCEB)指的是美国行政部门中非军事机构,包括国土安全部、财政部、能源部以及卫生与公众服务部等。
该漏洞(CVE-2025-53786)允许攻击者在获得本地部署的 Exchange 服务器管理员权限后,横向渗透到 Microsoft 云环境,可能导致整个域被完全攻陷。
漏洞影响 Microsoft Exchange Server 2016、2019 以及订阅版。在混合部署环境中,Exchange Online 与本地 Exchange 服务器共享同一个服务主体(service principal),它是双方进行身份验证的一种信任关系。攻击者如果在本地 Exchange 服务器上获得管理员权限,就可能伪造或篡改云端可接受的受信令牌或 API 调用,从而实现从本地网络横向渗透到企业云环境,进而危及企业的整个 Active Directory 和基础设施。
更糟糕的是,微软表示,如果恶意活动源自本地 Exchange,基于云的日志工具(如 Microsoft Purview)可能无法记录相关行为,使得攻击难以被发现。
这一漏洞是在微软 2025 年 4 月发布的安全架构更新和 Exchange 补丁之后被披露的。该更新是微软“安全未来计划”(Secure Future Initiative)的一部分,引入了专用混合应用程序来取代原先的共享应用程序架构。
昨天,安全研究员 Dirk-Jan Mollema(来自 Outsider Security)在 Black Hat 大会上展示了这种共享服务主体如何在后渗透攻击中被利用。他在接受 BleepingComputer 采访时表示,自己在演讲前三周已将漏洞报告给微软,以便提前预警。微软随后在协调下发布了 CVE-2025-53786 编号及缓解指南。
Mollema 解释道:
“我最初并不认为这是一个漏洞,因为该攻击使用的协议本来就具备这些功能,只是整体上缺乏关键安全控制。我向微软安全响应中心(MSRC)发送了报告,提醒他们可能存在的攻击途径。除了发布缓解指南外,微软还修补了一条可能导致从本地 Exchange 升级到全局管理员权限、从而完全攻陷租户的攻击路径。”
好消息是,那些在此前已按照 4 月的指南部署补丁的 Exchange 客户,已经免受这一新型后渗透攻击的威胁。但尚未实施缓解措施的组织仍然受影响,必须尽快安装补丁,并按照微软文档(doc 1 和 doc 2)的说明部署专用混合应用。
Mollema 提醒,仅安装补丁并不足以防御,还需要手动执行后续操作,将服务主体迁移到专用模式。他补充说:
“从安全角度看,紧迫程度取决于管理员对本地 Exchange 资源与云端资源隔离的重视程度。在旧架构下,Exchange 混合模式对 Exchange Online 和 SharePoint 中的所有资源都拥有完全访问权限。”
需要注意的是,这是一种后渗透攻击方式——也就是说,攻击者必须已经攻陷本地环境或 Exchange 服务器,并且具备管理员权限,才能利用该漏洞。
根据 CISA 的《紧急指令 25-02》,联邦机构需先使用微软的 Health Checker 脚本清点 Exchange 环境。对于已不受 4 月补丁支持的版本(如已停用的 Exchange 版本),必须断开连接。
其余服务器则必须更新至最新的累积更新版本(Exchange 2019 为 CU14 或 CU15,Exchange 2016 为 CU23),并安装 4 月的补丁。之后,管理员需运行微软的 ConfigureExchangeHybridApplication.ps1 PowerShell 脚本,将 Entra ID 中的共享服务主体切换为专用服务主体。
CISA 警告称,若未实施这些缓解措施,混合部署环境可能会被完全攻陷。所有机构必须在周一上午完成技术修复,并在当天美国东部时间下午 5 点前向 CISA 提交报告。
虽然非政府组织不在该指令的强制范围内,CISA 仍敦促所有组织立即采取措施。CISA 代理局长 Madhu Gottumukkala 表示:
“这一 Microsoft Exchange 漏洞的风险,影响到所有使用该环境的组织和行业。虽然联邦机构是强制执行对象,但我们强烈建议所有组织都采取本紧急指令中的防护措施。”
发表评论
您还未登录,请先登录。
登录