“Dans un déploiement hybride d’échange, un attaquant qui gagne d’abord l’accès administratif à un serveur d’échange sur site pourrait potentiellement dégénérer des privilèges dans l’environnement cloud connecté de l’organisation sans laisser de trace facilement détectable et vérifiable”, a annoncé Microsoft mercredi.
L’escalade des privilèges peut être effectuée en exploitant CVE-2025-53786, une vulnérabilité nouvellement divulguée qui découle de Exchange Server et Exchange en ligne partageant le même principal de service – c’est-à-dire l’application Office 365 Exchange Online – dans les configurations hybrides. (L’application est utilisée pour authentifier et sécuriser la communication entre Exchange Server et Exchange en ligne.)
Qu’est-ce qu’un déploiement hybride d’échange?
Un déploiement hybride de Microsoft Exchange Server implique une configuration qui connecte un environnement de serveur Microsoft Exchange sur site avec Exchange Online, la version basée sur le cloud regroupé dans la plupart des abonnements Microsoft 365.
À l’heure actuelle, les organisations qui s’appuient sur un tel déploiement peuvent toujours s’en tirer avec l’utilisation de l’application Office 365 Exchange Online, mais pas pour longtemps: à partir de ce mois, Microsoft commencera à bloquer temporairement le trafic Exchange Services Web (EWS) en utilisant le principal des services partagés en ligne Exchange.
«Cela fait partie d’une stratégie progressive pour accélérer l’adoption des clients de l’application Exchange hybride dédiée et rendre les environnements de notre client plus sécurisés», explique l’équipe Echange de Microsoft.
La retraite des services Web Exchange (EWS) dans Exchange Online (en faveur de l’API Microsoft Graph) et la transition de l’application Office 365 Exchange Online à une application hybride dédiée ont été planifiées par Microsoft pendant un certain temps.
La société a mis le processus en mouvement plus tôt cette année, en publiant des mises à jour HotFix pour Exchange Server 2019 CU 14 et CU 15, Exchange Server 2016 CU 23 et Exchange Server Abonnement Edition RTM et exhorter les clients à les installer sur leurs serveurs Exchange sur site.
Après l’installation, ils ont dû exécuter un script PowerShell pour changer d’échange hybride de la configuration «Principal partagé» à l’application Exchange Hybride dédiée et la déployer.
(La dernière étape de la transition comprend le changement d’échange hybride pour utiliser les appels d’API graphiques et la mise à jour des autorisations d’application dédiées à un modèle d’autorisation de graphique plus granulaire, qui doit être effectué d’ici octobre 2026.)
Mais, selon l’équipe d’échange, «même si l’adoption des versions de serveur qui prend en charge l’application hybride dédiée a été bonne, le nombre de clients qui ont créé l’application dédiée reste très faible.»
Et c’est pourquoi Microsoft a planifié des blocs de deux et trois jours de trafic d’échange de services Web, ce qui aura un impact sur les clients qui ont des boîtes aux lettres d’utilisateurs hébergées à la fois en échange sur site et en ligne, utiliser les fonctionnalités partagées par ces boîtes aux lettres, n’ont pas été mises à jour vers l’une des mises à jour Hotfix publiées plus tôt cette année, et n’ont pas créé et / ou ont permis à l’une des mises à jour HotFix publiées plus tôt cette année, et n’ont pas créé et / ou ont permis à l’application hybride de Exchange dédiée.
“Après le 31 octobre 2025, l’utilisation du directeur de service partagé sera bloquée en permanence. Les fonctionnalités hybrides (…) cesseront de fonctionner si l’application dédiée n’est pas configurée”, a expliqué la société.
Sur CVE-2025-53786
En tant qu’ajout «incitatif», Microsoft a révélé le danger résultant de Exchange Server et Exchange en ligne partageant le même directeur de service: les attaquants peuvent l’utiliser pour accéder furtivement à l’environnement cloud connecté de l’organisation.
«Exploitation réussie de [CVE-2025-53786] Exige qu’un attaquant gagne d’abord ou possède un accès administrateur sur un serveur Exchange », a noté Microsoft, mais c’est un obstacle qui peut être surmonté par des attaquants sophistiqués et persistants.
Ainsi, l’entreprise conseille aux organisations de:
“Si vous avez précédemment configuré Exchange Hybrid ou OAuth Authentification entre Exchange Server et votre organisation Exchange Online mais ne l’utilisez plus, assurez-vous de réinitialiser les KeyCredentials du service du service”, a conclu Microsoft.
CISA crée
Selon l’avis de sécurité, le CVE-2025-53786 n’est pas actuellement exploité. (Cependant, si c’était le cas, les organisations pourraient le dire puisque l’escalade du privilège peut être effectuée par les attaquants «sans quitter [an] Trace facilement détectable et vérifiable »?)
Néanmoins, maintenant que cette connaissance est en plein air, certains attaquants peuvent s’essayer à exploiter cette faiblesse.
L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a conseillé aux organisations de suivre les directives de Microsoft et de conclure par l’exécution du vérificateur de santé d’échange Microsoft pour déterminer si d’autres étapes sont nécessaires.
“CISA recommande fortement aux entités de déconnecter les versions publiques d’Exchange Server ou SharePoint Server qui ont atteint leur fin de vie (EOL) ou de fin de service depuis Internet. Par exemple, SharePoint Server 2013 et les versions antérieures sont EOL et doivent être interrompues si elles sont toujours utilisées”, a ajouté l’agence.
La fin du support prolongé pour Exchange 2016 et Exchange 2019 est prévue pour le 14 octobre 2025.
Plus tôt cette année, Microsoft a également commencé à pousser les organisations à mettre à niveau et à corriger régulièrement ses serveurs sur pré-Table Microsoft Exchange s’ils voulaient utiliser le service en ligne Exchange pour livrer des e-mails. L’objectif déclaré de la société est de rehausser le profil de sécurité de l’écosystème d’échange face à une augmentation significative de la fréquence des attaques contre les serveurs d’échange au cours des dernières années.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
