28,000+ Microsoft Exchange Servers Vulnerable to CVE-2025-53786 Exposed Online
2025/08/09 CyberSecurityNews — 2025年8月7日に Shadowserver Foundation が公開した新たなスキャン・データによると、パッチ未適用の Microsoft Exchange サーバ 28,000台以上が、パブリック・インターネットに接続された状態で稼働しており、深刻なセキュリティ脆弱性 CVE-2025-53786 が、依然として危険な状態にあることが判明した。それと同日に、米国の Cybersecurity and Infrastructure Security Agency (CISA) も緊急指令 25-02 を発出し、この Microsoft Exchange ハイブリッド・デプロイメントにおける高深刻度の脆弱性を、8月11日午前9時 (東部時間) までに解消するよう、連邦政府機関に対して命じた。
この脆弱性 CVE-2025-53786 (CVSS:8.0) を悪用にする、オンプレミス Exchange サーバに管理者権限を持つ攻撃者は、接続されている Microsoft 365 クラウド環境内で、きわめて検出が困難なかたちでの権限昇格を達成できる。
2025年4月のセキュリティガイダンスを実装していない、脆弱な Exchange ハイブリッド・コンフィグを運用し続ける組織に対して、Microsoft と CISA が “重大かつ容認できないリスク” を警告するという流れを受けて、Shadowserver がスキャン・データを公表した。その結果によると、脆弱サーバが最も多い国は、米国/ドイツ/ロシアであるという。
この脆弱性の原因は、Exchange Server と Exchange Online が、同一のサービス・プリンシパルを共有する設計にあり、それが権限昇格の経路となる。
この設計に対する変更は、2025年4月18日にMicrosoft が発表したものであり、当初はセキュリティ以外の強化策として公表されたが、その後の調査において、CVE の割り当てが必要な影響が確認されたと報じられている。
Microsoft が強く推奨するのは、2025年4月以降の修正プログラムを速やかに適用し、Exchange Server ハイブリッド環境のコンフィグ変更を実施することだ。
Black Hat USA 2025 でデモにおいて、Outsider Security の Dirk-Jan Mollema が示したのは、条件付きアクセス・ポリシーを回避する脅威アクターが、24時間まで有効な認証トークンを偽造する手法である。現時点において、Microsoft はインシデントを確認していないが、悪用される可能性が高いと指摘している。
CISA 局長代理 Madhu Guttumukkala は、「米国民が依存する連邦政府機関システムに対して、重大かつ容認できないリスクをもたらす、この脆弱性を軽減するための、緊急措置を講じている」と述べている。
ユーザー組織にとって必要なことは、Microsoft の 2025年4月修正プログラムを適用し、Exchange ハイブリッド環境のコンフィグ変更を行い、専用の Exchange ハイブリッド・アプリケーションを導入した上で、旧サービス・プリンシパルの資格情報を削除することだ。
なお、2025年10月31日以降において Microsoft は、Graph API アーキテクチャ移行の一環として、共有サービス・プリンシパルを用いる Exchange Web Services トラフィックを、恒久的にブロックする予定であるという。
CISA は民間の組織に対しても、オンプレミスとクラウドでのドメイン全体への侵害を防ぐために、緊急指令ガイダンスの実施を強く推奨している。
Microsoft Exchange Server と Exchange Online が、同一のサービス・プリンシパルを共有するという設計に、この脆弱性は起因するとのことです。この構造が、オンプレミス側の管理者権限を持つ攻撃者にとって、クラウド環境での権限昇格経路になってしまうと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Exchange で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.