背景图片取自Milad Fakurian on Unsplash

微软4月份解决能造成混合环境下提权（Escalation of Privilege, EoP）攻击的Exchange Server漏洞，但安全专家发现，截至目前全球还有近3万台系统未安装更新。

微软今年4月宣布对Exchange Server及Exchange Online混合部署环境做了一些安全性变更及发布相关hot fix，这项变更实则解决了一项安全漏洞，只是微软上周才公布漏洞名称及细节。CVE-2025-53786为一项提权攻击漏洞，能让取得Exchange Server管理员权限的攻击者，透过假造或操弄token或API呼叫，就能在同一组织连结的云端Exchange上提升权限而不会留下迹证。这项漏洞风险值CVSS 8.0。如果企业管理员当时按照建议，就能解决这项漏洞。

但根据非营利组织The Shadowserver研究人员扫瞄结果，从IP位址来看，未安装修补程序的Exchange Server一直处于近2.9万，未曾明显减少。到8月10日，依然还有29,098个IP。其中欧洲以1.4万个占最大比例，北美和亚洲次之，各有近8,400及5,000个IP。

本漏洞影响Exchange Server 2016、2019及Subscription Edition（SE）。美国网路安全暨基础架构安全管理署（CISA）已发布紧急指令，要求联邦政府机关以微软提供的Exchange Server Health Checker script完成系统盘点、安装Exchange Hotfix Updates更新、Exchange Server 2019要更新到CU14、15，Exchange Server 2016升级到CU23，并关闭过了生命周期（EoL）的老旧Exchange Server。

民间企业也可以循同样方法强化Exchange Server防护。