Microsoftは、Exchange Serverのハイブリッド展開に存在する高深刻度の脆弱性について、顧客に対し対策を講じるよう警告しました。この脆弱性は、攻撃者がExchange Onlineクラウド環境で権限を昇格させることを可能にし、痕跡を残さずに実行される可能性があります。
Exchangeハイブリッド構成は、オンプレミスのExchangeサーバーとExchange Online(Microsoft 365の一部)を接続し、オンプレミスとクラウドのメールボックス間でメールやカレンダー機能をシームレスに統合できるようにします。これには、共有カレンダー、グローバルアドレスリスト、メールフローなどが含まれます。
しかし、ハイブリッドExchange展開では、オンプレミスのExchange ServerとExchange Onlineが同じサービスプリンシパル(両環境間の認証に使用される共有ID)を共有しています。
この共有IDを悪用することで、オンプレミスExchangeを制御する攻撃者は、クラウド側が正当とみなす信頼されたトークンやAPIコールを偽造または操作できる可能性があります。クラウド側はオンプレミスサーバーを暗黙的に信頼しているためです。
さらに、オンプレミスExchangeから発生したアクションは、Microsoft 365内の悪意ある動作に関連するログが必ずしも生成されるとは限りません。そのため、Microsoft PurviewやM365監査ログなどの従来のクラウドベース監査では、オンプレミスから始まったセキュリティ侵害を検出できない場合があります。
「Exchangeハイブリッド展開において、攻撃者が最初にオンプレミスExchangeサーバーへの管理者権限を取得した場合、組織の接続されたクラウド環境内で容易に検出・監査できる痕跡を残さずに権限を昇格させる可能性があります」とMicrosoftは水曜日にセキュリティアドバイザリで述べており、この高深刻度の権限昇格の脆弱性はCVE-2025-53786として追跡されています。
この脆弱性は、Exchange Server 2016およびExchange Server 2019、さらに従来の永続ライセンスモデルに代わるサブスクリプションベースの最新バージョンであるMicrosoft Exchange Server Subscription Editionにも影響します。
Microsoftは現時点で実際の悪用は確認していませんが、同社は「悪用の可能性が高い」と分類しています。なぜなら、同社の分析により、この脆弱性を安定して悪用できるエクスプロイトコードが開発可能であり、攻撃者にとって魅力的になることが判明したためです。
CISAはこの問題に関する独自のアドバイザリを発表し、CVE-2025-53786脆弱性を狙った攻撃からExchangeハイブリッド展開を保護したいネットワーク防御担当者に対し、以下を推奨しています:
- オンプレミスのExchangeサーバーにMicrosoftの2025年4月 Exchange Server ホットフィックスアップデートをインストールし、Microsoftの構成手順専用Exchangeハイブリッドアプリの展開に従う。
- Exchangeハイブリッドを使用している(または以前に構成したが現在は使用していない)組織は、サービスプリンシパルのkeyCredentialsリセットについてMicrosoftのサービスプリンシパル クリーンアップモードを参照する。
- 完了後、Microsoft Exchange Health Checkerを実行し、追加の対応が必要かどうかを確認する。
CISAは、サポート終了(EOL)またはサービス終了バージョンのExchange ServerやSharePoint Serverをインターネットから切断するよう管理者に強く求めています。
1月には、Microsoftも管理者に対し、Exchange 2016およびExchange 2019が10月に延長サポート終了を迎えることを再度通知し、古いサーバーの廃止が必要な場合のガイダンスを共有しました。Exchange Onlineへの移行や、Exchange Server Subscription Edition(SE)へのアップグレードを推奨しています。
近年、金銭目的や国家支援のハッカーが、ProxyLogonやProxyShellゼロデイなど、複数のExchangeのセキュリティ脆弱性を悪用してサーバーに侵入しています。
例えば、少なくとも10のハッカーグループが2021年3月にProxyLogonを悪用し、中国政府支援のHafniumまたはSilk Typhoonとして追跡されている脅威グループも含まれていました。
2年前の2023年1月にも、Microsoftは顧客に対し、常に最新のサポート対象累積更新プログラム(CU)を適用し、オンプレミスExchangeサーバーを最新の状態に保つことで、緊急のセキュリティアップデートを迅速に適用できるよう推奨していました。