Vulnérabilités et Alertes

Une vulnérabilité de haute gravité (CVE-2025-53786) affectant les déploiements Exchange hybrides

by  • 

Microsoft publie des recommandations

Le 6 août 2025, Microsoft et l’agence américaine CISA ont lancé une alerte concernant une nouvelle vulnérabilité de haute gravité affectant les déploiements hybrides de Microsoft Exchange. Cette faille, identifiée comme CVE-2025-53786, pourrait permettre à un acteur malveillant disposant d’un accès administrateur sur un serveur Exchange local (on-premise) d’élever ses privilèges au sein de l’environnement Exchange Online associé, compromettant potentiellement l’intégrité globale du domaine de l’entreprise. Aucune exploitation malveillante n’a été signalée à ce jour, mais Microsoft considère la faille comme « Exploitation More Likely » (exploitation plus probable), estimant qu’un code d’attaque fiable pourrait être mis au point sans grande difficulté. La CISA prévient de son côté que sans action corrective, cette vulnérabilité pourrait conduire à une compromission totale des systèmes Exchange de l’organisation, tant sur site que dans le cloud. En conséquence, les autorités de cybersécurité exhortent les organisations utilisant Exchange en mode hybride à appliquer sans délai les mesures de mitigation fournies par Microsoft afin de se protéger.

Une identité de service partagée en cause dans les déploiements hybrides

Les environnements Exchange hybrides relient un serveur Exchange sur site aux services Exchange Online dans le cloud (composant de Microsoft 365) pour offrir une intégration transparente des fonctionnalités de messagerie et de calendrier entre les deux. Ce mode de déploiement permet par exemple de partager des calendriers entre utilisateurs locaux et cloud, de disposer d’une liste d’adresses globale unifiée ou d’assurer un routage de courrier intégré. Pour fonctionner, la configuration hybride repose sur un principal de service partagé (service principal) – en pratique, une identité d’application commune que l’Exchange sur site et Exchange Online reconnaissent et utilisent pour s’authentifier l’un auprès de l’autre.

Cependant, cette relation de confiance implicite comporte un point faible : si un attaquant parvient à prendre le contrôle administrateur du serveur Exchange on-premise, il peut abuser de cette identité partagée pour forger des jetons ou des requêtes API que la partie cloud acceptera comme légitimes, puisqu’elle fait confiance aux communications émanant du serveur local. Concrètement, une compromission de l’Exchange sur site pourrait ainsi être exploitée pour étendre furtivement l’attaque à Exchange Online, sans générer de traces évidentes dans les journaux d’audit du cloud.

Des actions malveillantes initiées depuis le serveur compromis pourraient passer inaperçues du côté cloud, car vues comme faisant partie des opérations hybrides normales.

Gravité de la faille et impact

CVE-2025-53786 a été évaluée avec un score de 8,0 sur 10 en CVSS v3, ce qui correspond à une vulnérabilité de gravité élevée. Son exploitation exige que l’attaquant ait déjà compromis le serveur Exchange sur site avec des privilèges administrateur, ce qui en fait un vecteur d’escalade de privilèges post-compromission plutôt qu’un point d’entrée initial. Néanmoins, si cette condition préalable est remplie, l’impact peut être critique : la faille ouvre la voie à une escalade de privilèges dans le cloud Exchange qui permettrait à un intrus ayant déjà pénétré le réseau de passer du local au cloud en toute discrétion, élargissant son accès sans alerter les mécanismes de détection classiques. Microsoft indique que les versions Exchange Server 2016, Exchange Server 2019 ainsi que la plus récente Exchange Server Subscription Edition (édition à abonnement) sont concernées par ce problème.

Bien que rendue publique le 6 août 2025, cette vulnérabilité s’inscrit dans la continuité de changements de sécurité annoncés par Microsoft quelques mois plus tôt, en avril 2025. En effet, Microsoft avait diffusé le 18 avril des mises à jour non sécuritaires (hotfix) et des recommandations de configuration visant à renforcer la sécurité des déploiements hybrides. Ce n’est qu’après des analyses supplémentaires que la portée exacte de la menace est apparue : des configurations hybrides inappropriées ou restées dans un état légacy pouvaient laisser ouverte une voie d’escalade de privilèges entre l’Exchange local et le cloud. Microsoft a donc attribué le code CVE-2025-53786 pour documenter officiellement cette faille et insiste désormais pour que toutes les entreprises concernées installent les correctifs d’avril (ou ultérieurs) et mettent en œuvre les modifications de configuration préconisées sans attendre.

Les mesures de sécurité recommandées

La réponse conjointe de Microsoft et de la CISA détaille plusieurs mesures correctives pour neutraliser ce risque d’escalade de privilèges. Tout d’abord, Microsoft invite les administrateurs à consulter son guide Exchange Server Security Changes for Hybrid Deployments afin de vérifier si leur déploiement hybride est affecté et s’assurer qu’une mise à jour cumulative appropriée est disponible pour leurs serveurs Exchange. Ensuite, il est impératif d’appliquer les mises à jour Exchange publiées en avril 2025 (ou des mises à jour ultérieures équivalentes) sur tous les serveurs Exchange on-premise participant à l’hybridation. Ces mises à jour introduisent la prise en charge d’une application hybride Exchange dédiée dans Azure AD, en remplacement de l’utilisation par défaut de l’identité partagée. Les administrateurs doivent suivre les instructions officielles de Microsoft pour déployer et activer cette application dédiée, de sorte que le serveur Exchange sur site utilise désormais son propre principal de service lors des échanges avec Exchange Online.

Par ailleurs, Microsoft recommande aux organisations ayant un jour configuré un mode hybride (y compris celles qui ne l’utilisent plus actuellement) de procéder à une réinitialisation des informations d’identification associées à l’ancien principal de service partagé. Cette étape, décrite dans le mode Service Principal Clean-Up, permet de révoquer toute clé secrète potentiellement compromise ou obsolète rattachée à l’application hybride initiale. Enfin, une fois les correctifs appliqués et la nouvelle configuration en place, il est conseillé d’exécuter le script Exchange Health Checker afin de vérifier que la configuration hybride est saine et qu’aucune action supplémentaire n’est requise.

En complément, la CISA souligne qu’il est crucial de déconnecter d’Internet les serveurs Exchange ou SharePoint qui ne sont plus supportés par l’éditeur et arrivent en fin de vie (EOL) s’ils sont encore exposés. Par exemple, SharePoint Server 2013 (et les versions antérieures) a atteint sa fin de support et ne devrait plus être maintenu en service accessible en ligne. Microsoft a par ailleurs rappelé que le support étendu d’Exchange Server 2016 et 2019 prendra fin en octobre 2025, et a encouragé les entreprises concernées à migrer vers Exchange Online ou à passer à l’édition à abonnement (Exchange SE) afin d’éviter de conserver des serveurs non pris en charge au-delà de cette date.

Vers une application forcée : changements à venir et perspectives

Microsoft a annoncé son intention d’accélérer l’adoption de ces mesures de sécurité dans les prochains mois, via des actions d’application proactive. Dans un billet de blog de l’équipe Exchange, il est indiqué qu’à partir d’août 2025, Exchange Online commencera à bloquer temporairement certaines requêtes Exchange Web Services (EWS) effectuées via l’ancien principal de service partagé. Autrement dit, des fonctionnalités hybrides comme la consultation des disponibilités (free/busy) ou les conseils de messagerie (MailTips) connaîtront de brèves interruptions pour les organisations n’ayant pas encore déployé l’application hybride dédiée. Ces coupures ponctuelles – programmées en août, en septembre puis début octobre – visent à inciter les clients à réaliser les modifications nécessaires avant l’échéance finale. En effet, à compter du 31 octobre 2025, Exchange Online bloquera définitivement toute utilisation du principal de service partagé pour les échanges hybrides. Une organisation qui n’aurait pas basculé vers le nouveau modèle d’ici cette date verra donc certains services hybrides cesser de fonctionner tant qu’elle n’aura pas mis en place l’application dédiée (par exemple, les recherches de disponibilité inter-calendriers ou les MailTips depuis un compte on-premise vers un compte cloud ne fonctionneront plus).

Microsoft souligne que le passage à un principal de service dédié ne préserve pas seulement la continuité des fonctionnalités, mais améliore significativement la sécurité de l’environnement hybride – comme l’a démontré l’existence même de CVE-2025-53786. La découverte de cette vulnérabilité et la réaction coordonnée des acteurs de la cybersécurité rappellent l’importance de sécuriser les liaisons d’authentification entre les systèmes sur site et dans le cloud. Bien qu’aucune exploitation active n’ait encore été observée, le message est clair : les équipes de sécurité doivent traiter ce risque sans tarder, avant que des acteurs malveillants n’essaient à leur tour d’en tirer parti.

.Enjoy !

Sources