CVE-2025-53786

Évasion des privilèges dans les déploiements hybrides de Microsoft Exchange

Une faille de sécurité, identifiée sous le code CVE-2025-53786, affecte les configurations hybrides de Microsoft Exchange Server. Elle permet à un individu possédant des droits d’administrateur sur un serveur Exchange local de prendre le contrôle des accès dans l’environnement cloud connecté, et ce, sans laisser de traces évidentes.

La faille tire profit du partage d’un principal de service commun entre les serveurs Exchange locaux et Exchange Online, utilisé pour les processus d’authentification. En exploitant cette faiblesse, un attaquant peut modifier les mots de passe des utilisateurs, transformer des comptes cloud en comptes hybrides, et usurper l’identité d’utilisateurs hybrides, s’octroyant ainsi un accès non surveillé pouvant durer jusqu’à 24 heures.

Points clés :

• Vecteur d’attaque : Attaque d’évasion de privilèges.
• Portée : Déploiements hybrides de Microsoft Exchange Server.
• Conséquences : Modification de mots de passe, conversion d’utilisateurs cloud en hybrides, usurpation d’identité.
• Durée d’accès potentielle : Jusqu’à 24 heures.
• Cause : Partage d’un principal de service d’authentification entre les environnements on-premises et cloud.

Vulnérabilité :

• CVE : CVE-2025-53786

Recommandations :

• Installer le correctif d’avril 2025 (ou une version ultérieure) pour Exchange Server.
• Appliquer les modifications recommandées dans l’environnement Exchange Server et l’environnement hybride.

Source