Selon bleepingcomputer.com, Microsoft a publié un avis de sécurité concernant une vulnérabilité haute gravité dans les déploiements Exchange Server hybrides qui peut permettre une élévation de privilèges dans Exchange Online, souvent sans traces auditables dans Microsoft 365.
Dans les configurations hybrides, les serveurs Exchange on-premises et Exchange Online partagent le même service principal (identité de service) utilisé pour l’authentification. En abusant de cette identité partagée, un acteur ayant le contrôle de l’Exchange on-prem peut forger/manipuler des jetons de confiance ou des appels API acceptés par le cloud comme légitimes.
Microsoft souligne que les actions initiées depuis l’on-premises ne génèrent pas toujours des logs associés à un comportement malveillant dans Microsoft 365 (ex. Microsoft Purview ou journaux d’audit M365), ce qui peut rendre la compromission difficile à détecter.
La faille est suivie sous CVE-2025-53786 et concerne Exchange Server 2016, Exchange Server 2019 et Microsoft Exchange Server Subscription Edition. Microsoft indique ne pas avoir observé d’exploitation active à ce stade, mais classe l’exploitation comme « Exploitation More Likely » ⚠️.
Type d’article et objectif: article de presse spécialisé relayant une alerte de vulnérabilité et ses implications dans les environnements hybrides.
- Produits concernés: Exchange Server 2016, Exchange Server 2019, Exchange Server Subscription Edition; Exchange Online (contexte cloud dans les environnements hybrides)
- Impact: élévation de privilèges dans le cloud Exchange Online, détection potentiellement lacunaire côté M365
- Statut: exploitation non observée, mais probabilité jugée « more likely »
TTPs observés/décrits:
- Abus de la relation de confiance via le service principal partagé entre on-prem et cloud
- Falsification/manipulation de jetons de confiance
- Abus d’appels API acceptés par Exchange Online comme légitimes
🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-high-severity-flaw-in-hybrid-exchange-deployments/