在 Exchange 混合部署（hybrid Exchange）架構中，發現高嚴重性漏洞 CVE-2025-53786，可能使得攻擊者擁有極高惡意操作能力。根據美國資安機構 CISA 與 Microsoft 的官方公告指出，若此漏洞被利用，可能導致「混合雲端與內部部署的整體網域妥協」。
 

一、漏洞概況與影響範圍

此漏洞存在於 Exchange Server 2016、Exchange Server 2019 及 Subscription Edition 版本中（混合部署架構）。混合部署架構下，內部 Exchange Server 與 Exchange Online 共用同一服務主體（service principal）作為身份驗證機制，此設定成為攻擊者入侵的突破口。一旦攻擊者取得內部管理權限，即可透過偽造或濫用該信任機制，進行特權提升、修改使用者密碼、模擬混合使用者等操作，並有可能滲透至雲端環境中而不被察覺。

 

二、風險嚴重性與偵測困難

此漏洞被評為 CVSS 3.1 評分 8.0（高危）。特別令人憂慮的是，Exchange Online 雲端服務通常不會對來自內部 Exchange 的惡意操作進行完整日誌記錄，使得這類攻擊極難透過雲端監控工具偵測。
 

三、目前攻擊情形

目前尚無證據顯示此漏洞已被惡意利用於實際攻擊中，但安全院與研究人員一致認為「攻擊可能性極高」。微軟安全響應中心（MSRC）與 CISA 均已發布建議，要求受影響單位立即採取因應措施。
 

四、建議防護與修復措施

• 安裝 2025 年 4 月或更新版本的 Exchange Server hotfix，並依指引建立獨立的 Exchange hybrid 應用程式（dedicated hybrid app）。
• 若組織曾設定混合部署但已停用，請啟用 Microsoft 所提供的「Service Principal Clean-Up Mode」，重設服務主體的 keyCredentials。

微軟預計自本月起逐步封鎖基於共用服務主體的 Exchange Web Services（EWS）流量，以加速客戶採用專屬 hybrid App 架構。
 

五、對台灣企業的啟示與建議

• 立即應查：台灣各企業若使用 Exchange 混合部署，應立刻檢視是否受到影響並執行補丁更新。
• 強化監控：加強內部與雲端日誌整合分析，尤其內部 Exchange 行為異常應即時通報。
• 規劃更新策略：若尚有舊版伺服器仍在使用，應評估升級或全面遷移至 Exchange Online，以減少風險暴露面。
• 資安教育與演練：加強內部 IT 與資安人員的風險意識與應變流程，確保類似漏洞可迅速回應。

資料來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-high-severity-flaw-in-hybrid-exchange-deployments/