背景图片来源／Photo by Tobias van Schneider on Unsplash

微软本周发出安全公告，警告Exchange Server混合环境存在重大漏洞，可使攻击者在某些状况下提高权限，微软呼吁用户安装早先发布的修补程序。

这项漏洞编号CVE-2025-53786，被列为提权（Elevation of Privilege,EoP）漏洞，风险值8.0。但这并非一项新发现的安全漏洞，而是微软4月修补，但直到本周公告漏洞编号及其细节。

今年4月18日，微软宣布变更Exchange Server混合部署的安全设定，同时发布非安全性的Hot Fix，目的是改善Exchange混合部署的整体安全性。微软声称在进一步调查后，发现4月的指引及配置解决了某些安全问题（漏洞）。该漏洞于事后被给予编号CVE-2025-53786，并且在4月18日宣布的安全变更予以解决。

微软解释这项漏洞风险。在Exchange混合部署环境下，若攻击者先取得本地部署Exchange Server管理员权限，就可以在其组织连结的云端环境中升级权限，而且不会留下轻易侦测或稽察到的迹证。由于Exchange Server和Exchange Online在混合环境下共用服务主体（service principal），使云端版Exchange也可能遭非经授权存取。

受影响的产品包括Exchange Server 2016 CU (Cumulative Update) 23、Exchange Server 2019 CU 14/15及部份Exchange Server Subscription Edition (SE) RTM。

Exchange Server Subscription Edition (SE) RTM是新近产品却也包含在这次安全公告中。对此微软解释，Exchange Server SE RTM第一个版本已包含专属的Exchange混合App功能，也可能受影响。如果用户已升级到最新版本就可免于最新漏洞风险，但用户仍必须依循指引文件提到的步骤，从共用服务主体清除keyCredentials凭证。

微软强烈建议企业客户详读资讯，并在Exchange Server及混合部署环境安装4月份及以后的Hot Fix。

此外，若企业之前曾设定Exchange混合部署或是Exchange Server及Exchang Online间的OAuth验证（可跳过密码验证），却未再使用，应重设服务主体的keyCredential。