Exchange Serverは、Microsoft社が提供するグループウェアおよび電子メール製品です。
いろいろな機能が提供されている製品で、さまざまな利用形態が選択できます。
オンプレミスとして企業内にサーバーを設置して運用することもできますし、Microsoftのクラウドサービス(Exchange Online)として利用することもできます。
さらにはオンプレミスのサーバとクラウドのサービスを組み合わせて構成することもできるようになっています。
このExchange Serverで特権昇格の脆弱性が案内されています。
- CVE-2025-53786
これはExchangeのハイブリッド展開において、オンプレミスのExchangeサーバへの管理者アクセス権を最初に取得した攻撃者は、簡単に検出および監査可能な痕跡を残さずに、組織の接続されたクラウド環境内で権限を昇格できる可能性がある脆弱性となっています。
このリスクは、Exchange Server と Exchange Online がハイブリッド構成で同じサービス プリンシパルを共有するために発生します。
CVSSベーススコアは8.0です。
この問題への対策はパッチの適用だけでは対応しきれないものとなっています。
パッチを適用し、その後Microsoftから提供されるハイブリッド展開におけるExchange Serverのセキュリティ変更の手順書に従った操作を行う必要があります。
Exchange Serverのハイブリッド構成はメリットの多い利用形式です。
このためハイブリッド構成状態で運用している組織は多くあることでしょう。
パッチの適用をタイムリーに実施できている組織も増えてきているかもしれません。
しかしそれだけでは十分ではありません。
この問題に限った話ではありませんが、日ごろから新しい情報を入手できるようにし必要な対策をとっていけるようにしたいですね。
Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability CVE-2025-53786
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
| この記事をシェア |
|
|---|
