Microsoft komt met noodpatch voor beveiligingslek in Exchange Server
Microsoft heeft buiten de vaste maandelijkse patchcyclus om noodpatches voor een kwetsbaarheid in Exchange Server uitgebracht en verwacht dat aanvallers misbruik van het beveiligingslek zullen gaan maken. Het Amerikaanse cyberagentschap CISA roept organisaties op om in actie te komen, het advies van Microsoft te volgen en de beschikbaar gestelde updates te installeren.
De kwetsbaarheid (CVE-2025-53786) is aanwezig in Exchange Server 2019 en Exchange Server Subscription Edition RTM. Het probleem doet zich voor in hybride Exchange-installaties. Dit zijn omgevingen waar on-premises Exchange-servers worden gecombineerd met Exchange Online om één mailsysteem te creëren. Volgens Microsoft is dit een tussenstap voor organisaties die van on-premises naar Exchange Online willen overstappen. Daarnaast biedt het verschillende features die in alleen de on-premises versie niet aanwezig zijn.
CVE-2025-53786 betreft een kwetsbaarheid waarbij een aanvaller die admin-toegang tot een on-premises Exchange-server heeft zijn rechten kan verhogen naar de cloudomgeving van de organisatie, zonder daarbij eenvoudig te vinden sporen achter te laten. Dit kan gevolgen hebben voor de integriteit van de Exchange Online-service, aldus het CISA. Volgens Microsoft doet het risico zich voor doordat Exchange Server en Exchange Online dezelfde service principal in hybride configuraties delen. De kwetsbaarheid werd gevonden door de Nederlandse beveiligingsonderzoeker Dirk-jan Mollema, die zijn bevindingen gisteren tijdens de Black Hat Conferentie in Las Vegas presenteerde (pdf).
Microsoft zegt nog niet bekend te zijn met misbruik van het beveiligingslek, maar verwacht dat aanvallers de kwetsbaarheid wel bij aanvallen zullen gaan inzetten. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een aparte waarschuwing voor het Exchange-lek uitgebracht en roept organisaties op de update te installeren. Tevens wordt aangeraden om installaties van Exchange Server en Microsoft SharePoint die end-of-life zijn niet meer te gebruiken.
"Conclusions
• Entra ID connect on-prem was way more powerful than you thought.
• Most attack paths from Entra ID connect are now mitigated.
• Exchange hybrid on-prem = Exchange online.
• Exchange online has/had unrestricted access in your tenant through
S2S actor tokens with impersonation rights.
• S2S actor tokens design is messed up, should never have existed and
the impersonation should be removed ASAP.
• Lack of transparency about internal auth protocols hurts security.
• Customers running Exchange hybrid should apply mitigations to
reduce the impact."
En jawel, de kwetsbaarheid zit precies in die ‘hybride’ opstellingen die Microsoft al jaren als “tussenoplossing” promoot voor organisaties die bijna klaar zijn voor de cloud, maar nog nét niet durven. Die tussenfase blijkt nu dus ook een mooie brug voor aanvallers, met een gratis ticket van je on-prem server naar je Exchange Online.
CISA klinkt de noodklok: update nú. Microsoft zegt dat er nog geen misbruik is, maar “verwacht dat het gaat gebeuren.” Vrij vertaald: als je dit niet vandaag fixt, sta je morgen in de krant.
En laten we vooral even klappen voor Dirk-jan Mollema, die dit pareltje op de Black Hat-conferentie presenteerde. Want als de gemiddelde Exchange-beheerder het lek niet opspoort, dan gelukkig wel een Nederlandse hacker met vrije tijd en een diepe afkeer van SSO.
Microsoft en CISA raden nog even fijntjes aan om géén gebruik meer te maken van end-of-life Exchange- en SharePoint-servers. Want wie wil er nou kwetsbaar zijn op twee fronten tegelijk?
Vendor
Microsoft
Product
Microsoft Exchange Server 2019 Cumulative Update 14
Platforms
x64-based Systems
Versions 1 Total
Default Status: unknown
affected
affected from 15.02.0.0 before 15.02.1544.025
Wij zitten op: Exchange Server 2019 CU14 May25HU May 29, 2025 15.2.1544.27 15.02.1544.027
Dus als bovenstaande informatie zou kloppen heeft het geen invloed op ons.
Overigens is Exchange 2016 ook affected:
Microsoft Exchange Server 2016 Cumulative Update 23
Platforms
x64-based Systems
Versions 1 Total
Default Status: unknown
affected
affected from 15.01.0 before 15.01.2507.055
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?