微軟揭露 Exchange Server 混合部署存在極高威脅性安全漏洞 CVE-2025-53786,攻擊者可完全無痕跡地從本地伺服器提升至雲端環境完整控制權限。美國 CISA 罕見發布緊急指令 ED 25-02,要求所有聯邦機構必須於週一(8月11日)前完成關鍵修補,警告未修補將導致「網域環境全面淪陷」的災難性後果。
漏洞核心:共享身分驗證機制的設計缺陷
微軟於本週三發布安全公告,揭露影響 Exchange Server 2016、2019 以及最新訂閱版本的重大安全漏洞。
此漏洞的根本問題在於 Exchange 混合部署架構中,本地 Exchange Server 與雲端 Exchange Online 共享同一個服務主體(service principal)的設計。
在混合部署環境中,這種共享身分驗證機制原本是為了讓本地與雲端環境能夠無縫整合電子郵件和行事曆功能。然而,
攻擊者一旦取得本地 Exchange 伺服器的管理員權限,就能濫用這個共享身分來偽造或操控受信任的權杖,讓雲端環境誤認為這些惡意請求來自合法的本地伺服器。
更危險的是,由於來自本地 Exchange 的操作並不一定會在 Microsoft 365 中產生與惡意行為相關的日誌記錄,傳統的雲端稽核機制如 Microsoft Purview 或 M365 稽核日誌可能無法捕捉到源於本地環境的安全漏洞。
攻擊手法與潛在影響
荷蘭 Outsider Security 的資安研究員 Dirk-jan Mollema 在 Black Hat USA 2025 資安會議上詳細展示了這個漏洞的利用方式。研究顯示,本地版本的 Exchange Server 具有用於向 Exchange Online 進行身分驗證的憑證,這些憑證可用於從微軟的存取控制服務(ACS)要求服務對服務(S2S)行為者權杖。
這些權杖能夠提供對 Exchange Online 和 SharePoint 的完全存取權限,完全繞過條件式存取或其他安全檢查。更嚴重的是,當「trustedfordelegation」屬性被設定時,這些權杖可以在 24 小時內模擬用戶內的任何混合使用者,且在發行時不會留下任何日誌記錄。
微軟在公告中強調:「在 Exchange 混合部署中,首先取得本地 Exchange 伺服器管理存取權限的攻擊者,可能在組織連接的雲端環境中提升權限,且不會留下容易偵測和稽核的痕跡。」
CISA 發布緊急指令及修補建議
美國網路安全暨基礎設施安全局(CISA)認為此漏洞風險極高,於 8 月 7 日發布緊急指令 ED 25-02,要求所有擁有 Microsoft Exchange 混合環境的聯邦行政部門機構必須在 8 月 11 日週一上午 9 點前實施必要的緩解措施。
CISA 警告,若未能緩解此漏洞,可能導致「混合雲端和本地環境的整體網域失守」。該機構也強烈建議所有組織立即採取行動,不僅限於聯邦機構。
微軟提供的緊急修補措施包括三個關鍵步驟。首先,組織必須在本地 Exchange 伺服器上安裝 2025 年 4 月的 Exchange Server 修補程式更新或更新版本。其次,部署專用的 Exchange 混合應用程式以取代共享服務主體配置。最後,重設服務主體的 keyCredentials,特別是對於曾經配置過 Exchange 混合或 OAuth 身分驗證但不再使用的組織。
值得注意的是,
微軟實際上早在 4 月就已經發布了相關的修補程式,但當時並未明確揭露此安全漏洞,而是以「改善混合 Exchange 部署安全性」為由推動客戶採用新的配置方式。根據微軟 Exchange 團隊的說法,儘管支援專用混合應用程式的伺服器版本採用率良好,但實際建立專用應用程式的客戶數量仍然很低。
強制轉換計畫加速
為了加速客戶採用更安全的配置,微軟宣布從本月開始將暫時封鎖使用 Exchange Online 共享服務主體的 Exchange Web Services(EWS)流量。這項措施將分階段實施,包括為期兩到三天的封鎖期,最終將在 2025 年 10 月 31 日後永久封鎖共享服務主體的使用。
Exchange 伺服器長期以來一直是國家級駭客和網路犯罪分子的主要攻擊目標,因為它們提供了大量電子郵件、行事曆和其他敏感資訊的便利存取途徑。近年來,攻擊者已經利用多個 Exchange 安全漏洞,包括 ProxyLogon 和 ProxyShell 零日漏洞來入侵伺服器。
2021 年 3 月,至少十個駭客組織利用 ProxyLogon 漏洞發動攻擊,其中包括被追蹤為 Hafnium 或
Silk Typhoon 的中國國家支持威脅組織,導致數百個組織受到影響。
立即行動建議
鑒於此漏洞的嚴重性和 CISA 的緊急指令,所有使用 Exchange 混合部署的組織都應立即採取必要行動。除了安裝修補程式和部署專用應用程式外,組織還應該斷開已達到生命週期結束的面向公眾的 Exchange Server 或 SharePoint Server 與網際網路的連接。
微軟也提醒管理員,Exchange 2016 和 Exchange 2019 將於 2025 年 10 月EOL(停止支援),建議組織遷移至 Exchange Online 或升級至 Exchange Server 訂閱版本。
完成修補後,組織應執行 Microsoft Exchange Health Checker 以確定是否需要進一步的動作,並持續監控可能的異常活動。