Microsoft ha pubblicato un avviso riguardante una vulnerabilità di sicurezza ad alta gravità che colpisce le versioni on-premise di Exchange Server; la falla, tracciata come CVE-2025-53786, presenta un punteggio CVSS di 8.0 e, in scenari specifici, potrebbe consentire a un attaccante di ottenere privilegi elevati all’interno dell’ambiente cloud collegato, senza lasciare tracce facilmente rilevabili.
Il cuore del problema: service principal condiviso
In una configurazione ibrida Exchange (Exchange Server + Exchange Online), Microsoft evidenzia un rischio critico: Exchange Server e Exchange Online condividono lo stesso “service principal”.
Questo significa che, se un attaccante compromette un server Exchange locale con privilegi admin, potrebbe escalare i permessi nel cloud Microsoft 365.
“L’attacco non lascia log facilmente rilevabili né tracce di accesso evidenti”, si legge nell’advisory.
I dettagli tecnici
I dettagli tecnici sulla vul
- ID vulnerabilità: CVE-2025-53786
- CVSS: 8.0 (alta gravità)
- Ricercatore: Dirk-jan Mollema (Outsider Security)
- Ambito impatto: identità e autenticazione in ambienti ibridi Exchange
Secondo la CISA (Cybersecurity and Infrastructure Security Agency) statunitense, la vulnerabilità può compromettere l’integrità delle identità Exchange Online se lasciata non corretta.
Mitigazioni consigliate
Microsoft invita tutte le organizzazioni con ambienti ibridi ad agire tempestivamente:
- Installare la Hotfix di aprile 2025 o una versione successiva
- Verificare e aggiornare le configurazioni di sicurezza ibride di Exchange
- Reimpostare i
keyCredentialsdel service principal, se in passato si è usata un’autenticazione ibrida OAuth ma non è più attiva
“Se non utilizzate più l’integrazione ibrida o l’autenticazione OAuth tra Exchange Server e Exchange Online, resettate i keyCredentials per ridurre il rischio”, precisa Microsoft.
Blocco temporaneo su EWS
Come ulteriore misura di contenimento, Microsoft inizierà a bloccare temporaneamente il traffico EWS (Exchange Web Services) che utilizza il service principal condiviso, invitando gli utenti a migrare verso l’app ibrida Exchange dedicata, più sicura.
Colpo di coda: malware e web shell
L’advisory di Microsoft arriva in concomitanza con nuove analisi della CISA su attacchi recenti a SharePoint, collegati a ToolShell, ossia una campagna che sfrutta vulnerabilità note per installare:
- DLL codificate in Base64
- Web shell ASPX per eseguire comandi remoti ed esfiltrare dati
- PowerShell offuscato per fingerprinting e furto di chiavi crittografiche
La raccomandazione di CISA è chiara: disconnettere da Internet tutte le versioni EOL (end-of-life) di Exchange e SharePoint esposte pubblicamente e cessare l’uso di software fuori supporto.
