Microsoft Exchange Server 中的一個(gè)嚴(yán)重漏洞在全球近 30,000 個(gè)系統(tǒng)上仍未修補(bǔ)，引發(fā)了人們對(duì)混合云環(huán)境中潛在利用的擔(dān)憂。

該漏洞被跟蹤為 CVE-2025-53786，影響與 Exchange Online 混合配置中的 Exchange 2016、Exchange 2019 和 Exchange Server 訂閱版。該漏洞允許具有本地服務(wù)器管理員訪問(wèn)權(quán)限的攻擊者在連接的云環(huán)境中提升權(quán)限，從而可能危及整個(gè)域。

根據(jù) Shadowserver Foundation 的數(shù)據(jù)，截至 8 月 10 日，暴露于該漏洞的 Exchange 服務(wù)器的確切數(shù)量為 29,098 臺(tái)。發(fā)現(xiàn)集中度最高的是美國(guó)（超過(guò) 7,200 臺(tái)），其次是德國(guó)（6,700 臺(tái)）和俄羅斯（2,500 臺(tái)），法國(guó)還有數(shù)千臺(tái)，英國(guó)、奧地利和加拿大也暴露了。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局于 8 月 7 日針對(duì)聯(lián)邦機(jī)構(gòu)發(fā)布了緊急指令 25-02，強(qiáng)調(diào)了問(wèn)題的嚴(yán)重性，要求立即緩解。各機(jī)構(gòu)已被命令使用 Microsoft 的運(yùn)行狀況檢查器腳本清點(diǎn) Exchange 環(huán)境，斷開(kāi)暴露在 Internet 上的不受支持的服務(wù)器的連接，應(yīng)用修補(bǔ)程序和最新的累積更新，并實(shí)施 Microsoft 的專用混合應(yīng)用程序指南，以替換不安全的共享服務(wù)主體。

CISA 指南中提到的修補(bǔ)程序是指 Microsoft 在 4 月份發(fā)布的更新，當(dāng)時(shí)該更新被作為架構(gòu)更改提出，旨在通過(guò)鼓勵(lì)使用“專用混合應(yīng)用程序”來(lái)提高混合身份安全性。Microsoft 本身直到 8 月 6 日才正式記錄了該漏洞。

鑒于漏洞的嚴(yán)重性和潛在風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全專家還敦促那些擁有 Exchange 服務(wù)器的人采取行動(dòng)。

“這是 Exchange 中的一個(gè)嚴(yán)重漏洞，安全團(tuán)隊(duì)?wèi)?yīng)該立即引起注意，”應(yīng)用程序安全軟件提供商 Black Duck Software Inc. 的基礎(chǔ)設(shè)施安全實(shí)踐總監(jiān) Thomas Richards 通過(guò)電子郵件告訴 SiliconANGLE。

“修補(bǔ)服務(wù)器是不夠的，而且由于很難檢測(cè)到入侵，Microsoft 為團(tuán)隊(duì)提供了采取的措施，以確保任何受損的信任令牌都得到輪換，”Richards 解釋道?！皩?duì)于團(tuán)隊(duì)進(jìn)行全面補(bǔ)救并確保對(duì)軟件的信任不受影響至關(guān)重要。如果系統(tǒng)未打補(bǔ)丁，CISA 警告說(shuō) Exchange 和 Active Directory 可能會(huì)完全受到損害。如果受到損害，可能會(huì)對(duì)業(yè)務(wù)運(yùn)營(yíng)造成不利影響。