Microsoft vydal usmernenie k závažnej zraniteľnosti (CVE-2025-53786) v hybridných nasadeniach MS Exchange

Spoločnosť Microsoft vydala usmernenie pre mitigáciu bezpečnostnej zraniteľnosti CVE-2025-53786 s vysokou závažnosťou pre svoj produkt MS Exchange. Zatiaľ nebolo detegované aktívne zneužívanie zraniteľnosti, avšak Microsoft varuje, že zneužitie je ťažko detekovateľné.  

Zraniteľné systémy:

  • Microsoft Exchange Server Subscription Edition RTM hybridné prostredie
  • Microsoft Exchange Server 2019 hybridné prostredie
  • Microsoft Exchange Server 2016 hybridné prostredie

Opis zraniteľnosti:

CVE-2025-53786 (CVSS 3.1 skóre 8.0)

Bezpečnostná zraniteľnosť ovplyvňuje hybridné nasadenia servera Microsoft Exchange. Potenciálny útočník s prístupom k lokálnemu (on-premise) serveru MS Exchange s oprávneniami správcu môže eskalovať svoje oprávnenia v pripojenom cloudovom prostredí. Táto chyba existuje z dôvodu, že server Exchange Server a Exchange Online zdieľajú rovnakú identitu “service principal” v hybridných konfiguráciách. Úspešné zneužitie zraniteľnosti vedie k celkovej kompromitácií cloudového prostredia organizácie.

Microsoft upozorňuje, že služba „Shared service principal“ na ktorú sa vzťahuje aj aktuálna zraniteľnosť je zastaraná a bude vypnutá k 31.10.2025 a organizácie, ktoré dovtedy neprejdú na „Dedicated Exchange hybrid app“ stratia hybridnú funkcionalitu.

Možné škody:

  • Neoprávnený prístup k citlivým údajom  
  • Kompromitácia cloudovej infraštruktúry organizácie                   
  • Nedostupnosť služieb

Odporúčania:

Administrátorom odporúčame:

  • Aktualizovať produkt na najnovšiu verziu (hotfix) (návod)
  • Postupovať podľa zmien v nasadení hybridných prostredí (návod)
  • Nasadiť vyhradenú hybridnú aplikáciu Exchange (návod)
  • Resetovať „keyCredentials“ služby Service principal (návod)

Zdroje

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786

https://www.cisa.gov/news-events/directives/ed-25-02-mitigate-microsoft-exchange-vulnerability

https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments

https://www.bleepingcomputer.com/news/security/cisa-orders-fed-agencies-to-patch-new-cve-2025-53786-exchange-flaw/

https://www.helpnetsecurity.com/2025/08/07/exchange-hybrid-deployment-vulnerability-cve-2025-53786/