Impatto Sistemico

Medio (64.1)

Sintesi

Microsoft ha recentemente rilevato una vulnerabilità, con gravità “alta”, che interessa gli ambienti Exchange Server configurati in modalità ibrida, ovvero con componenti sia on-premises sia cloud . L’analisi condotta dal vendor ha evidenziato che, qualora un utente malevolo riesca a ottenere un accesso di tipo amministrativo su un server Exchange locale, risulterebbe possibile sfruttare un meccanismo di autenticazione condiviso per elevare i privilegi utente e ottenere accesso non autorizzato alla componente Exchange Online.

Tipologia

• Elevation of Privilege

Descrizione e potenziali impatti

Microsoft ha recentemente rilevato una vulnerabilità, con gravità “alta”, che interessa gli ambienti Exchange Server configurati in modalità ibrida, ovvero con componenti sia on-premises, sia cloud . L’analisi condotta dal vendor ha evidenziato che, qualora un utente malevolo riesca a ottenere un accesso di tipo amministrativo su un server Exchange locale, risulterebbe possibile sfruttare un meccanismo di autenticazione condiviso per elevare i privilegi utente ed effettuare accessi non autorizzati a Exchange Online, senza generare alcuna evidenza nei log ed eludendo i consueti controlli di sicurezza.

Nel dettaglio tale vulnerabilità – identificata tramite la CVE-2025-53786, con score CVSS v3.x pari a 8.0 – è causata dall’utilizzo di un service principal condiviso tra l’istanza Exchange on-premises e l’istanza Exchange Online. Ove non correttamente aggiornato e/o configurato, questo meccanismo può costituire un canale privilegiato per effettuare movimenti laterali verso la componente cloud.

Microsoft ha già introdotto – a partire da aprile 2025 – un nuovo modello di autenticazione basato su un’ applicazione ibrida dedicata. Inoltre, solo a seguito della pubblicazione della suddetta CVE, è stato formalmente riconosciuto il rischio correlato all’utilizzo di configurazioni legacy.

Prodotti e/o versioni affette

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019
• Microsoft Exchange Server Subscription Edition (SE) nella versione RTM

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda l’adozione immediata delle ultime correttive di sicurezza anche in assenza di segni di compromissione, date le elevate probabilità di escalation descritte.

Contestualmente, Microsoft ha annunciato l’imminente e progressivo blocco del traffico Exchange Web Services (EWS) autenticato tramite il service principal condiviso prossimi mesi (a partire da agosto, fino a ottobre 2025). Tali misure mirano a forzare l’adozione della dedicated hybrid app , completamente supportata dalla nuova versione del Hybrid Configuration Wizard (HCW) .

Pertanto, si raccomanda di:

• installare il cumulative update rilasciato da Microsoft ad aprile 2025 (o successivo) su tutti i server Exchange on-premise coinvolti in deployment ibridi;
• configurare una dedicated Exchange Hybrid App ed eseguire la modalità “Service Principal Clean-Up” , seguendo le indicazioni della guida fornita da Microsoft ;
• verificare lo stato di conformità dell’infrastruttura utilizzando lo strumento Microsoft Exchange Health Checker .
• scollegare dalla rete pubblica eventuali server Exchange o SharePoint non più supportati (EOL) o non aggiornati, per ridurre la superficie di esposizione.

L’accesso a EWS tramite il service principal condiviso sarà disattivato in modo permanente a partire dal 31 ottobre 2025. Il mancato adeguamento potrà comportare, oltre ai rischi di sicurezza descritti, la perdita di funzionalità essenziali tra ambienti on-premises e cloud, come la visualizzazione della disponibilità (free/busy), i suggerimenti di invio (MailTips) e la sincronizzazione delle foto profilo.