微軟近日發布安全公告，披露一個影響本地版Exchange Server的高危漏洞（編號CVE-2025-53786，CVSS評分為8.0）。該漏洞在特定條件下可能允許攻擊者提升權限，Outsider Security公司的Dirk-jan Mollema因報告此漏洞獲得致謝。

混合部署環境存在特權升級風險

微軟在公告中指出："在Exchange混合部署環境中，已獲取本地Exchange服務器管理員權限的攻擊者，可能進一步升級至組織關聯云環境的權限，且不會留下易于檢測和審計的痕跡。"這一風險源于混合配置下Exchange Server與Exchange Online共享相同的服務主體(service principal)。

微軟補充說明，成功利用該漏洞可使攻擊者在組織關聯云環境中實現權限升級，且攻擊痕跡難以追蹤。但攻擊實施的前提是威脅行為者已具備Exchange Server管理員權限。

官方修復建議與緩解措施

美國網絡安全和基礎設施安全局(CISA)在單獨發布的公告中警告，若未修補該漏洞，可能危及組織Exchange Online服務的身份完整性。作為緩解措施，微軟建議客戶：

1. 檢查混合部署環境的Exchange Server安全變更
2. 安裝2025年4月發布的補丁（或更新版本）
3. 嚴格遵循配置指引

微軟特別強調："若曾配置過Exchange Server與Exchange Online組織間的混合身份驗證或OAuth認證但現已停用，務必重置服務主體的keyCredentials憑證。"

微軟強化混合環境安全防護

與此同時，微軟宣布本月起將臨時攔截使用Exchange Online共享服務主體的EWS(Exchange Web Services)流量，旨在推動客戶采用專用Exchange混合應用，提升混合環境安全態勢。

關聯威脅活動預警

CISA同期分析了利用近期披露的SharePoint漏洞（統稱為ToolShell）部署的惡意組件，包括：

• 兩個Base64編碼的DLL二進制文件
• 四個ASPX(Active Server Page Extended)文件

這些惡意組件可獲取ASP.NET應用配置中的機器密鑰設置，并作為Web Shell執行命令和上傳文件。CISA警告稱："網絡威脅行為者可能利用此惡意軟件竊取加密密鑰，通過Base64編碼的PowerShell命令獲取主機系統指紋并外泄數據。"

CISA還敦促各機構將已終止支持(EOL)的Exchange Server或SharePoint Server公開版本與互聯網斷開，并停止使用過時版本。