混合Exchange环境漏洞需快速行动

微软与美国网络安全和基础设施安全局（CISA）敦促拥有混合Exchange服务器环境的管理员尽快修复一个高危漏洞，否则可能面临系统被入侵的风险。

混合Exchange部署使组织能够在Microsoft 365中扩展本地版Exchange的用户功能和管理控制。微软表示，混合部署可作为完全迁移至Exchange Online组织的中间步骤。其优势包括本地与Exchange Online组织之间的安全邮件路由、共享域名空间的邮件路由（例如本地和Exchange Online组织均使用@contoso.com SMTP域）以及日历共享。

漏洞利用原理

要利用此漏洞，攻击者首先需获得本地Exchange服务器的管理员权限。然而，微软在安全更新中警告，此后该漏洞可能允许黑客在组织的连接云环境中提升权限，且不会留下易于检测和审计的痕迹。

更新解释道：“此风险源于在混合配置中Exchange Server和Exchange Online共享相同的服务主体。”服务主体是用于控制应用程序访问及其所访问资源的身份。

防护措施

为保护此混合环境，管理员应：

• 若尚未操作，在本地Exchange服务器上安装4月18日发布的HotFix或任何更新版本，并遵循文档《部署专用Exchange混合应用》中的配置说明。更多细节请参考《混合部署的Exchange Server安全变更》；
• 然后重置服务主体的keyCredentials。即使先前已配置Exchange混合或Exchange Server与Exchange Online组织之间的OAuth身份验证且不再使用，也应执行此重置；
• 随后运行Microsoft Exchange Health Checker以确定是否需要进一步步骤。

CISA还强烈建议管理员将已达到生命周期终止（EOL）或服务终止的面向公众的Exchange Server或ShareShare Server版本与互联网断开连接。例如，SharePoint Server 2013及更早版本已EOL，若仍在使用应断开连接。

专家观点

SANS研究所研究院长Johannes Ullrich指出，此问题仅影响以混合模式在本地运行Exchange的组织。他在邮件中告诉CSO：“过去的漏洞和微软的持续指导已促使许多组织放弃本地Exchange转而采用云解决方案。仍在本地运行Exchange的组织数量越来越少。”

他补充道，要利用此漏洞，攻击者首先必须获得本地Exchange服务器的管理员权限。“拥有管理员权限的攻击者始终是坏事，但我不确定此漏洞是否大幅增加风险。它使攻击者更容易渗透到组织的云存在中，但耐心的攻击者可能通过观察Exchange流量即可获取所需访问权限。”

他总结道，整体教训是应远离本地Exchange。“该产品越来越难维护，微软的云解决方案是足够的替代品。此漏洞未增加重大风险，不应视为紧急事件。保持Exchange补丁和良好配置并不容易，必须经过仔细测试。”

漏洞背景

漏洞CVE-2025-53786源于微软4月18日发布的《混合部署的Exchange Server安全变更》及随附的非安全HotFix，旨在提升混合Exchange部署的安全性。经进一步调查，微软确定了与4月公告中指南和配置步骤相关的特定安全影响。微软还感谢荷兰研究员、Outsider Security负责人Dirk-jan Mollema的努力。

其他注意事项

另外，Exchange管理员应注意，从本月起，微软将开始临时阻止使用Exchange Online共享服务主体的Exchange Web Services（EWS）流量。默认情况下，混合场景中的某些共存功能会使用该主体。微软表示，这是加速客户采用专用Exchange混合应用的分阶段策略的一部分。