Microsoft heeft gebruikers gewaarschuwd voor een ernstige kwetsbaarheid in Exchange Server hybride omgevingen. Deze kwetsbaarheid kan aanvallers in staat stellen om ongemerkt hogere toegangsrechten te verkrijgen in Exchange Online cloudomgevingen.

In hybride Exchange-configuraties worden lokale Exchange-servers verbonden met Exchange Online (onderdeel van Microsoft 365), zodat e-mail- en agendafuncties naadloos tussen lokaal en de cloud werken, inclusief gedeelde agenda’s en adreslijsten.

In deze opstellingen delen de Exchange Server en Exchange Online dezelfde service-identiteit. Aanvallers die controle hebben over de lokale server kunnen deze gedeelde identiteit misbruiken door vertrouwde tokens of API-aanroepen te vervalsen, die door de cloudzijde worden geaccepteerd omdat de lokale server als betrouwbaar wordt gezien.

Bovendien genereren acties vanuit de lokale Exchange niet altijd logbestanden die wijzen op kwaadaardig gedrag in Microsoft 365. Traditionele cloud-gebaseerde audits vangen mogelijk geen inbreuken op die lokaal zijn begonnen.

“Bij een hybride Exchange-configuratie kan een aanvaller met beheerstoegang tot een lokale Exchange server mogelijk zijn toegangsrechten in de verbonden cloudomgeving opschroeven zonder duidelijke sporen achter te laten,” verklaarde Microsoft woensdag in een beveiligingsadvies. Deze kwetsbaarheid heeft de code CVE-2025-53786 gekregen.

Deze kwetsbaarheid treft zowel Exchange Server 2016, Exchange Server 2019 als de Microsoft Exchange Server Subscription Edition. Microsoft heeft nog geen meldingen van misbruik in het wild, maar benadrukt dat het aantrekkelijk voor aanvallers kan zijn omdat er exploitcode ontwikkeld kan worden om deze kwetsbaarheid consequent te benutten.

### “Volledige domeincompromis”

CISA heeft een aparte waarschuwing uitgebracht en adviseert netwerkbeheerders om hun hybride Exchange-installaties te beschermen tegen mogelijke aanvallen die de CVE-2025-53786-kwetsbaarheid kunnen misbruiken.

CISA waarschuwde dat het nalaten van deze kwetsbaarheid te verhelpen kan leiden tot “een volledige domeincompromis in hybride cloud- en lokale omgevingen” en roept beheerders op om servers die end-of-life of end-of-service versies van Exchange Server of SharePoint Server draaien, te ontkoppelen van het internet.

In januari herinnerde Microsoft beheerders eraan dat Exchange 2016 en Exchange 2019 aan het einde van hun uitgebreide ondersteuning komen in oktober en gaf advies over het migreren naar Exchange Online of upgraden naar Exchange Server Subscription Edition.

In de afgelopen jaren hebben hackers, zowel financieel gedreven als door staten gesponsord, meerdere kwetsbaarheden in Exchange uitgebuit, zoals de ProxyLogon en ProxyShell zero-days.

Bijvoorbeeld, ten minste tien hackgroepen, waaronder de door China gesponsorde groep Hafnium, benutten ProxyLogon in maart 2021.

Twee jaar geleden, in januari 2023, riep Microsoft klanten op om de laatste Cumulative Update (CU) toe te passen en hun lokale Exchange-servers up-to-date te houden om klaar te zijn voor noodbeveiligingsupdates.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.