Exchange Server 混合模式安全性漏洞修補(CVE-2025-53786)

iThome 20250808的資安新聞

https://www.ithome.com.tw/news/170498

這漏洞CVE-2025-53786 是微軟在2025年4月就發現，

新聞內容提到

在Exchange混合部署環境下，若攻擊者先取得本地部署Exchange Server管理員權限，就可以在其組織連結的雲端環境中升級權限，而且不會留下輕易偵測或稽察到的跡證。由於Exchange Server和Exchange Online在混合環境下共用服務主體（service principal），使雲端版Exchange也可能遭非經授權存取。

簡單說

Exchange 混合部署是指企業同時有本地（on-premises）Exchange 伺服器及雲端 Exchange Online 服務，兩者間可共享部分功能（如行事曆查詢、MailTips、個人頭像顯示）。過去這些功能是透過一組「共用服務帳戶」（shared service principal）串接，近期微軟為強化資安，推動改用「Dedicated Hybrid App」進行連線與認證

所以有使用混合雲環境就必須要更新

更新的前提: 有版本的需求(如下圖)

因我環境的hybrid版本之前已經升級到SE ，可以使用下面指令查看版本

Get-Command Exsetup.exe | ForEach-Object {$_.FileVersionInfo}

如果沒有符合前面說明的版本，可以到微軟網站查一下exchange版本資訊可以找到更新的連結進行更新

https://learn.microsoft.com/zh-tw/exchange/new-features/build-numbers-and-release-dates

如果沒有更新微軟這邊會有一些限制

1. 2025/8/19 起，將針對尚未完成新設定之用戶，暫時封鎖相關混合查詢功能（每次2-3天，共三次，分別為8/19、9/16、10/7）

2. 2025/10/31 起，永久封鎖舊有串接方式，未完成新設定者將無法再使用相關混合查詢功能

封鎖階段	開始日期	持續天數
第一次暫停	2025/8/19	2天
第二次暫停	2025/9/16	3天
第三次暫停	2025/10/7	3天
永久封鎖	2025/10/31後	永久

所以說，再被封鎖期間信箱還在地端用戶的無法查詢雲端信箱的[事曆查詢、MailTips、個人頭像顯示]等資訊，但是不會和之前一樣會限制流量

詳細說明參考:

https://techcommunity.microsoft.com/blog/exchange/dedicated-hybrid-app-temporary-enforcements-new-hcw-and-possible-hybrid-function/4440682

更新流程:

在Exchange Hybrid Server 先安裝新版的HWC

新HWC 版本為17.1.3443.0

可以在下面連結下載

https://learn.microsoft.com/en-us/exchange/hybrid-deployment/deploy-dedicated-hybrid-app

啟動後和直接流程差不多所以只有在不一樣的地方和我環境出現的問題說明(步驟截圖如下)

設定部分:如果剛好有需要更新憑證，可以將[更新連接器的安全郵件憑證]勾選

Exchange應用程式設定部分就是這次的重點，將[授予系統管理員同意]選項勾選

我看了一下就會在在Entra ID建立一個應用程式

跑一段時間

竟然發生失敗

回前面步驟改使用如下圖方式再做一次

設定完成

設定完成後需要手動啟用APP

啟用:Dedicated Exchange hybrid app

指令如下

New-SettingOverride -Name “EnableExchangeHybrid3PAppFeature” -Component “Global” -Section “ExchangeOnpremAsThirdPartyAppId” -Parameters @(“Enabled=true”) -Reason “Enable dedicated Exchange hybrid app feature

執行後不會有和我下圖的錯誤訊息，因為這是之前下過了，所以顯示物件重複

會這樣的原因是，在HWC還找不到新的下載點，所以跑完一次HWC想說給他先執行一次