吳明宜微軟四月修補的 Exchange Server 重大權限升級漏洞,但現在還有超過 2.9 萬台 Exchange 系統仍然曝露於風險中。
微軟今年四月宣布變更 Exchange Server 混合部署的安全設定解決某些問題,作為安全未來倡議 (Secure Future Initiative) 的一環,還發布了非安全性的 Hot Fix 。微軟上周公佈在 Exchange Server 一個權限升級漏洞,編號 CVE-2025-53786,CVSS score 為 8.0 。 CVE-2025-53786 能讓具有本地部署的 Exchange 伺服器的管理員權限的攻擊者,透過假造或操弄令牌或 API 呼叫,就能在同一公司的雲端 Exchange 上提升權限,而不會留下跡證,或令受害方難以偵測。
受 CVE-2025-53786 影響的混合環境中的 Exchange Server 2016 、 2019 及取代永久授權的 Subscription Edition (SE) 。這個漏洞已在四月解決了。微軟並未發現網路上有攻擊該漏洞的活動,但仍將本漏洞列為高濫用可能性,因為很容易開發出濫用程式碼,而成為駭客下手的.對象。
根據安全威脅偵測平台 Shadowserver 的掃瞄,到 8 月 10 日為止全球還有超過 2.9 萬台 Exchange Server 尚未修補 CVE-2025-53786 漏洞。其中。超過 7200 台 Exchange 系統 IP 位於美國,6700 多台位於德國,俄羅斯則有 2500 多台。
美國政府提高警覺
在微軟揭露漏洞後一天,美國網路安全暨基礎架構管理署 (CISA) 發佈緊急指令 25-02,要求所有單位,包括國土安全部、財政部、能源部等都在本周一 9:00 am 之前完成系統盤點、安裝 Exchange 修補程式、並關閉過了生命周期 (EoL) 的老舊 Exchange Server 。仍在技術支援期間的 Exchange Server 則應升級到累積更新。 Exchange Server 2019 要更新到 CU14 、 15,Exchange Server 2016 升級到 CU23 。
雖然民間機構不見得要立即安裝修補程式,但 CISA 還是呼籲所有企業做好和聯邦政府單位相同的安全防護。