Microsoft varuje správce IT před závažnou bezpečnostní chybou, která se týká hybridních instalací Exchange Serveru. Útočník se díky ní může nepozorovaně dostat z on-premise serveru až do cloudového prostředí Exchange Online a získat vyšší oprávnění.
V hybridním nasazení využívá Exchange Server a Exchange Online sdílenou identitu, tzv. service principal, která zajišťuje vzájemnou důvěru mezi oběma systémy. Pokud útočník získá administrátorský přístup k on-premise serveru, může této důvěry zneužít a v cloudu se vydávat za oprávněného uživatele.
Útok beze stop
Problém je o to závažnější, že aktivity zahájené z on-premise Exchange nemusí být v Microsoft 365 vůbec vidět. Běžné logy a auditní nástroje jako Microsoft Purview tak nemusejí nic zachytit. Útok může proběhnout naprosto nenápadně.
Zranitelnost dostala označení CVE-2025-53786 a týká se Exchange Serveru 2016, 2019 i nejnovější Subscription Edition. Microsoft zatím nezaznamenal její zneužití v praxi, ale označil ji jako „pravděpodobně zneužitelnou“. Podle odborníků je vytvoření funkčního exploitu reálné a lákavé.
CVE-2025-53786: Elevation of Privilege in Microsoft Exchange, 8.0 rating❗️
Vuln in Microsoft Exchange hybrid configurations could allow an attackers to escalate their privileges in cloud infrastructure.
Search at https://t.co/hv7QKSqxTR:
👉 Link: https://t.co/a2xQaRBGjB pic.twitter.com/XV8Jba3SpB— Netlas.io (@Netlas_io) August 7, 2025
Microsoft i CISA radí: jednejte
CISA vydala samostatné varování. Správcům doporučuje nainstalovat dubnové bezpečnostní aktualizace pro Exchange Server a podle pokynů přejít na dedikovanou hybridní aplikaci. Organizace, které už hybridní řešení nepoužívají, by měly zresetovat přístupové klíče sdílené identity.
Obě instituce varují, že pokud budou firmy chybu ignorovat, hrozí jim úplné ohrožení identity – tedy kompromitace jak cloudové, tak lokální infrastruktury. „Hrozí úplné ovládnutí domény hybridního prostředí,“ uvádí CISA.
Riziko roste s věkem systému
Microsoft zároveň připomněl, že Exchange 2016 a 2019 končí v říjnu s rozšířenou podporou. Doporučuje přechod buď na Exchange Online, nebo na novější Subscription Edition. Starší verze serveru, zvlášť pokud jsou veřejně přístupné, by měly být odpojeny od internetu.
Zkušenosti z minulosti ukazují, že právě Exchange bývá častým cílem. Útočníci včetně státem podporovaných skupin zneužívali v minulosti podobné chyby – například známé zranitelnosti ProxyLogon nebo ProxyShell.
Pozor i na starý hybrid
Microsoft také upozorňuje, že chyba se týká i firem, které hybridní prostředí pouze nastavily v minulosti, ale už ho nevyužívají. Pokud neprovedly úklid a reset přístupových klíčů, mohou být dál zranitelné. Nově proto začne Microsoft omezovat sdílený přístup přes starý service principal a prosazuje nasazení samostatné hybridní aplikace.
Organizace by si měly zkontrolovat konfiguraci, zranitelnost zacelit a neodkládat aktualizace. Vzhledem k tomu, že chyba umožňuje neviditelný průnik do cloudu, jde o hrozbu, kterou se nevyplácí podceňovat.