TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: Exchange Server > Microsoft Discloses Exchange Server Flaw Enabling Silent Cloud Access in Hybrid Setups

Microsoft Discloses Exchange Server Flaw Enabling Silent Cloud Access in Hybrid Setups

アプリ: Exchange Server 脆弱性: CVE-2025-53786

【訳】

Microsoft、ハイブリッド環境におけるサイレントクラウドアクセスを可能にする Exchange Server の脆弱性を公開


【脆弱性内容】

公開日
登録日
CVE番号
NVD
ベンダー
CVSS v3
CWE
脆弱性
KEV
備考
2025/08/06 2025/07/09 CVE-2025-53786 NVD Microsoft
8.0(Microsoft)
 CWE-287 不適切な認証 - Exchange Server


【要約】

Microsoftは、Exchange Serverハイブリッド環境に存在する深刻な脆弱性(CVE-2025-53786、CVSS 8.0)について警告しました。この欠陥により、攻撃者がオンプレミスのExchange管理権限を取得した場合、クラウド環境への特権アクセスが可能となり、検出されずに攻撃を継続できる恐れがあります。問題の根源は、Exchange ServerとExchange Onlineが共有するサービスプリンシパルにあります。Microsoftは、2025年4月以降のホットフィックスの適用と構成変更、未使用のOAuth設定の無効化を推奨し、10月には強制的な分離を予定しています。


【ニュース】

◆Microsoft Discloses Exchange Server Flaw Enabling Silent Cloud Access in Hybrid Setups (The Hacker News, 2025/08/07)
[Microsoft、ハイブリッド環境におけるサイレントクラウドアクセスを可能にする Exchange Server の脆弱性を公開]
https://thehackernews.com/2025/08/microsoft-discloses-exchange-server.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022