CISAは緊急指令を発出し、すべての連邦民間行政機関(FCEB)に対し、CVE-2025-53786として追跡されている重大なMicrosoft Exchangeハイブリッドの脆弱性を、月曜日午前9時(米東部時間)までに緩和するよう命じました。
連邦民間行政機関(FCEB)とは、米国行政機関のうち軍事機関を除く機関であり、国土安全保障省、財務省、エネルギー省、保健福祉省などが含まれます。
CVE-2025-53786として追跡されているこの脆弱性は、オンプレミスのExchangeサーバーで管理者権限を取得した攻撃者が、Microsoftクラウド環境へ横展開できるようにし、最終的にはドメイン全体の侵害につながる可能性があります。
この脆弱性は、Microsoft Exchange Server 2016、2019、およびサブスクリプションエディションに影響します。
ハイブリッド構成では、Exchange Onlineとオンプレミスサーバーが同じサービスプリンシパル(相互認証に使用される信頼関係)を共有しています。
オンプレミスのExchangeサーバーで管理者権限を持つ攻撃者は、クラウド側が正当と認識する信頼済みトークンやAPIコールを偽造または操作できる可能性があります。この手法により、攻撃者はローカルネットワークから企業のクラウド環境へ横展開し、企業のActive Directoryやインフラ全体を侵害する恐れがあります。
さらに悪いことに、Microsoftによれば、Microsoft Purviewなどのクラウドベースのログツールは、オンプレミスExchangeから発生した悪意のある活動を記録しない可能性があり、攻撃の検出が困難になります。
この脆弱性は、Microsoftが2025年4月にガイダンスおよびExchangeサーバーのホットフィックスをリリースし、Secure Future Initiativeの一環として、共有ではなく専用のハイブリッドアプリケーションを使用する新しいアーキテクチャをサポートした後に発覚しました。
昨日、Outsider Securityのセキュリティ研究者Dirk-Jan Mollema氏が、Black Hatのプレゼンテーションで、この共有サービスプリンシパルがポストエクスプロイト攻撃でどのように悪用されるかを実演しました。
同研究者はBleepingComputerに対し、講演の3週間前にこの脆弱性をMicrosoftに報告し、事前に警告したと語りました。プレゼンテーションと同時に、MicrosoftはCVE-2025-53786のCVEとその緩和策を発表しました。
「私は当初、これは脆弱性とは考えていませんでした。なぜなら、これらの攻撃に使われるプロトコルは、講演で取り上げた機能を備えて設計されており、一般的に重要なセキュリティ制御が欠如しているからです」とMollema氏はBleepingComputerに語りました。
「攻撃者が利用できる可能性について記述したレポートは、Black Hatの3週間前にMSRCに警告として送付され、開示は彼らと調整されました。このガイダンスに加え、MicrosoftはオンプレミスExchangeからテナント全体(グローバル管理者)の侵害につながる攻撃経路も緩和しました。」
朗報として、以前にホットフィックスおよび4月のガイダンスを実施したMicrosoft Exchangeの顧客は、この新たなポストエクスプロイト攻撃からすでに保護されています。
しかし、まだ対策を講じていない場合は影響を受けるため、ホットフィックスをインストールし、Microsoftの指示(ドキュメント1およびドキュメント2)に従って専用のExchangeハイブリッドアプリを導入してください。
「この場合、ホットフィックスを適用するだけでは不十分であり、専用サービスプリンシパルへの移行には手動での追加作業が必要です」とMollema氏は説明しています。
「セキュリティの観点からの緊急度は、管理者がオンプレミスExchangeリソースとクラウドホストリソースの分離をどれだけ重視するかによります。従来の構成では、ExchangeハイブリッドはExchange OnlineおよびSharePoint内のすべてのリソースにフルアクセスできます。」
Mollema氏はまた、この手法はポストエクスプロイト攻撃であり、攻撃者がすでにオンプレミス環境またはExchangeサーバーを侵害し、この場合は管理者権限を持っている必要があることを強調しました。
CISAの緊急指令25-02によると、連邦機関はまずMicrosoftのHealth Checkerスクリプトを使用してExchange環境のインベントリを作成しなければなりません。2025年4月のホットフィックスでサポートされなくなったサーバー(サポート終了バージョンなど)は切断する必要があります。
残りのすべてのサーバーは、最新の累積更新プログラム(Exchange 2019の場合はCU14またはCU15、Exchange 2016の場合はCU23)にアップデートし、4月のホットフィックスを適用する必要があります。その後、管理者はMicrosoftのConfigureExchangeHybridApplication.ps1 PowerShellスクリプトを実行し、Entra ID内で共有サービスプリンシパルから専用サービスプリンシパルへ切り替えなければなりません。
CISAは、これらの対策を実施しない場合、ハイブリッド環境が完全に侵害される可能性があると警告しています。
各機関は、月曜日の朝までに技術的な修復手順を完了し、同日午後5時までにCISAへ報告書を提出しなければなりません。
非政府組織はこの指令の下で対応を義務付けられてはいませんが、CISAはすべての組織に対し、攻撃の緩和を強く推奨しています。
「このMicrosoft Exchangeの脆弱性に関連するリスクは、この環境を利用するすべての組織や分野に及びます」とCISAの代理ディレクター、Madhu Gottumukkala氏は述べています。
「連邦機関には義務がありますが、すべての組織がこの緊急指令の対策を採用することを強く推奨します。」
