CVE-2025-53786: faille Exchange hybride permettant une élévation de privilèges vers Microsoft 365; directive d’urgence de la CISA

Selon Arctic Wolf, Microsoft a divulgué la vulnérabilité CVE-2025-53786 touchant les serveurs Exchange on-premises en environnements hybrides, tandis que la CISA a émis la directive d’urgence 25-02 exigeant un correctif d’ici le 11 août.

• Gravité et impact: La faille permet à des acteurs déjà authentifiés et disposant d’un accès administrateur aux serveurs Exchange on-premises d’obtenir un accès étendu à Exchange Online et SharePoint, en contournant des contrôles de sécurité et en ne laissant que peu de traces d’audit. Les jetons obtenus peuvent rester valides jusqu’à 24 heures. 🚨

• Détails techniques: CVE-2025-53786 exploite le service principal partagé entre Exchange Server et Exchange Online dans les configurations hybrides. En accédant au certificat d’authentification OAuth, l’attaquant peut demander des jetons de service auprès de Microsoft Access Control Service (ACS) afin d’usurper l’identité d’utilisateurs hybrides et d’accéder aux ressources Microsoft 365, en contournant les politiques d’accès conditionnel.

• Mesures et correctifs: Les organisations doivent appliquer le correctif d’avril 2025 ou mettre à jour vers le dernier cumulative update. La CISA a publié la directive d’urgence 25-02 imposant aux agences fédérales de corriger la faille au plus tard le 11 août. 🛠️

• Produits et périmètre concernés: Microsoft Exchange Server en déploiement hybride avec Exchange Online et SharePoint sont impactés.

• TTPs observées:

• Compromission/usage du certificat OAuth pour obtenir des jetons via ACS.
• Usurpation d’identité d’utilisateurs hybrides.
• Élévation de privilèges vers Microsoft 365.
• Contournement des politiques d’accès conditionnel.
• Faible visibilité dans les journaux d’audit.

Il s’agit d’un article d’alerte et d’analyse de vulnérabilité visant à informer sur la faille, ses mécanismes d’exploitation et les correctifs disponibles.

---

🔗 Source originale : https://arcticwolf.com/resources/blog/cve-2025-53786-u-s-cisa-issues-emergency-directive-for-post-authentication-vulnerability-in-microsoft-exchange-hybrid-configurations/

🖴 Archive : https://web.archive.org/web/20250810205255/https://arcticwolf.com/resources/blog/cve-2025-53786-u-s-cisa-issues-emergency-directive-for-post-authentication-vulnerability-in-microsoft-exchange-hybrid-configurations/