混合Exchange环境漏洞需紧急行动

微软与CISA敦促管理员快速修复高危漏洞

拥有混合Exchange Server环境的管理员被微软和美国网络安全与基础设施安全局（CISA）敦促快速修补一个高危严重性漏洞，否则可能面临系统被入侵的风险。

混合Exchange部署使组织能够在Microsoft 365中扩展本地版Exchange的用户功能和管理控制。微软表示，混合部署可以作为完全迁移到Exchange Online组织的中间步骤。其优势包括本地与Exchange Online组织之间的安全邮件路由、共享域命名空间的邮件路由（例如本地和Exchange Online组织都使用@contoso.com SMTP域）以及本地与Exchange Online组织之间的日历共享。

漏洞利用条件与风险

要利用此漏洞，攻击者首先需要获得本地Exchange服务器的管理访问权限。然而，微软在安全更新中警告，此后该漏洞可能允许黑客在组织的连接云环境中提升权限，而不会留下易于检测和审计的痕迹。

“这种风险的出现是因为在混合配置中，Exchange Server和Exchange Online共享相同的服务主体，”更新解释说。服务主体是用于控制应用程序访问及应用程序所访问资源的身份。

防护措施

为保护此混合环境，管理员应：

• 如果尚未安装，需在本地Exchange服务器上安装4月18日发布的Hot Fix或任何更新版本，并遵循文档《部署专用Exchange混合应用》中概述的配置说明。更多细节请参考《混合部署的Exchange服务器安全更改》；
• 然后重置服务主体的keyCredentials。即使之前已配置Exchange混合或Exchange Server与Exchange Online组织之间的OAuth身份验证且不再使用，也应执行此重置；
• 随后运行Microsoft Exchange Health Checker以确定是否需要进一步步骤。

CISA还强烈建议管理员断开已达到生命周期终止（EOL）或服务终止的面向公众的Exchange Server或SharePoint Server与互联网的连接。例如，SharePoint Server 2013及更早版本已EOL，如果仍在使用应断开连接。

专家观点

SANS研究院研究院长Johannes Ullrich指出，此问题仅影响以混合模式在本地运行Exchange的组织。他在给CSO的电子邮件中表示：“过去的漏洞和微软的持续指导已促使许多组织放弃本地Exchange，转而采用云解决方案。仍在本地运行Exchange的组织数量越来越少。”

他补充说，要利用此漏洞，攻击者首先必须获得本地Exchange服务器的管理员权限。“拥有管理员权限的攻击者始终是坏事，但我不确定此漏洞是否大幅增加了风险。它使得横向渗透到组织的云存在更容易，但耐心的攻击者可能通过观察Exchange流量就能学到所需信息以获取访问权限。”

他补充说，整体教训是远离本地Exchange。“该产品变得越来越难维护，”他主张，“而微软的云解决方案是足够的替代品。此漏洞并未增加实质性风险，不应被视为紧急情况。保持Exchange打补丁和良好配置并不容易，必须经过仔细测试。”

漏洞背景

漏洞CVE-2025-53786源于微软4月18日发布的《混合部署的Exchange服务器安全更改》及随附的非安全HotFix，旨在提高混合Exchange部署的安全性。经过进一步调查，微软表示已确定与4月公告中概述的指导和配置步骤相关的特定安全影响。微软还感谢荷兰研究员、Outsider Security负责人Dirk-jan Mollema的努力。

其他注意事项

另外，Exchange管理员还应注意，从本月开始，微软将开始临时阻止使用Exchange Online共享服务主体的Exchange Web Services（EWS）流量。默认情况下，混合场景中的某些共存功能使用它。微软表示，这是加速客户采用专用Exchange混合应用的分阶段策略的一部分。