email security key on keyboard

Environnement d’échange hybride La vulnérabilité nécessite une action rapide

Lucas Morel

Microsoft et Cisa exhortent les administrateurs à brancher rapidement une vulnérabilité de haute sévérité.

Les administrateurs avec des environnements de serveur d’échange hybride sont exhortés par Microsoft et l’agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) à brancher rapidement une vulnérabilité ou un compromis de système de risque de haute sévérité.

Les déploiements d’échange hybride offrent aux organisations les organisations la possibilité d’étendre les fonctionnalités des utilisateurs et les contrôles administratifs de la version sur site de l’échange au sein de Microsoft 365. Le déploiement hybride peut servir d’étape intermédiaire pour passer complètement à une organisation Exchange Online, a déclaré Microsoft.

Les avantages comprennent le routage de courrier sécurisé entre les organisations sur site et d’échange en ligne, le routage des e-mails avec un espace de noms de domaine partagé (par exemple, les organisations sur site et en ligne d’échange utilisent le domaine SMTP @ contoso.com) et le partage de calendrier entre les organisations sur site et d’échange en ligne.

Pour exploiter la vulnérabilité, un attaquant doit d’abord obtenir un accès administratif à un serveur Exchange sur site. À partir de là, cependant, la vulnérabilité pourrait permettre au pirate de dégénérer les privilèges dans l’environnement cloud connecté de l’organisation sans laisser de traces facilement détectables et vérifiables, a averti Microsoft dans une mise à jour de sécurité.

« Ce risque survient parce que Exchange Server et Exchange Online partagent le même directeur de service dans les configurations hybrides », a expliqué la mise à jour. Un directeur de service est une identité utilisée pour contrôler l’accès aux applications et les ressources auxquelles l’application accède à l’application.

Pour protéger cet environnement hybride, les administrateurs doivent:

  • S’ils ne l’ont pas déjà fait, installez le correctif HOT publié le 18 avril – ou toute version plus récente – sur leurs serveurs d’échange sur site et suivez les instructions de configuration décrites dans le document. Pour plus de détails, ils doivent se référer;
  • Réinitialisez ensuite les KeyCredentials de KeyCredential du service. Cette réinitialisation doit être effectuée même si elle a précédemment configuré Exchange Hybrid ou Authentification OAuth entre Exchange Server et leur organisation Exchange Online et ne l’utiliser plus;
  • Exécutez ensuite le vérificateur de santé Microsoft Exchange pour déterminer si des étapes supplémentaires sont nécessaires.

CISA recommande également fortement que les administrateurs déconnectent des versions publiques d’Exchange Server ou SharePoint Server qui ont atteint leur fin de vie (EOL) ou la fin de service depuis Internet. Par exemple, SharePoint Server 2013 et les versions antérieures sont EOL et doivent être déconnectées si elles sont toujours utilisées.

Afin d’exploiter la vulnérabilité, a-t-il ajouté, un attaquant doit d’abord obtenir des droits d’administration sur le serveur Exchange sur site. « Avoir un attaquant avec les droits administratifs est toujours une mauvaise chose, et je ne suis pas sûr que cette vulnérabilité augmente beaucoup le risque », a-t-il déclaré. «Il est plus facile de faire pivoter la présence du cloud de l’organisation, mais un attaquant de patient peut apprendre ce dont il a besoin pour accéder simplement en observant le trafic d’échange.»

La leçon globale, a-t-il ajouté, est de s’éloigner de l’échange sur site. «Ce produit est devenu de plus en plus difficile à maintenir», a-t-il fait valoir, «et les solutions cloud de Microsoft sont une alternative adéquate. Cette vulnérabilité n’ajoute pas de risque substantiel et ne doit pas être traitée comme une urgence. Garder un échange corrigé et bien configuré n’est pas facile et doit être effectué avec des tests minutieux.»

La vulnérabilité, CVE-2025-53786, découle de la sortie du 18 avril de Microsoft et du hotfix non sécurité qui l’accompagne, qui était destiné à améliorer la sécurité des déploiements d’échange hybride.

Après une enquête plus approfondie, Microsoft a déclaré qu’il a identifié des implications de sécurité spécifiques liées aux étapes de guidage et de configuration décrites dans l’annonce d’avril. Microsoft a également crédité les efforts du chercheur néerlandais Dirk-Jan Mollema, responsable de la sécurité étrangers.

Par ailleurs, les administrateurs d’échange doivent également noter que, à partir de ce mois, Microsoft commencera à bloquer temporairement le trafic Exchange Services Web (EWS) à l’aide du principal service partagé en ligne Exchange. Par défaut, il est utilisé par certaines fonctionnalités de coexistence dans des scénarios hybrides. Cela fait partie d’une stratégie progressive pour accélérer l’adoption des clients de l’application Exchange hybride dédiée, a déclaré Microsoft.

Plus de nouvelles de la sécurité Microsoft:

  • Microsoft fait allusion à la révocation de l’accès au noyau Windows – éventuellement
  • Project IRE: Agent d’IA autonome de Microsoft qui peut faire du malware insensé
  • CyberCrooks FAKÉ Microsoft Oauth Apps for MFA Phishing
  • Tout premier ciblage d’attaque en clic zéro Microsoft 365 Copilot
  • Fin de vie pour Microsoft Office met des macros malveillants sous les projecteurs de sécurité
  • Le correctif incomplet de SharePoint de Microsoft a conduit à des exploits mondiaux par des pirates liés à la Chine

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft