Un nouveau drame de sécurité Exchange se profile-t-il ? Microsoft signale une vulnérabilité critique ciblant spécifiquement les environnements hybrides.
De nombreux clients Microsoft sont encore en train de se remettre de la faille SharePoint qu’un nouveau risque de sécurité se profile déjà. Cette fois, c’est au tour d’Exchange de nous faire frémir. Microsoft signale une vulnérabilité récemment découverte CVE-2025-53786 qui, avec un score CVSS de 8.8, est qualifiée de « critique ».
lire aussi
SharePoint reste sous le feu : de nouvelles variantes d’attaques émergent
CVE-2025-53786 ne peut causer des dommages que dans les configurations Exchange hybrides combinant la version sur site avec le cloud. Si vous travaillez entièrement dans le cloud ou sur site, Microsoft affirme que vous êtes en sécurité. Les attaquants peuvent exploiter la vulnérabilité pour rediriger le trafic de messagerie des serveurs cloud vers des serveurs sur site compromis. Dans la pratique, cela ne s’est pas encore produit, mais Microsoft considère l’exploitation comme « très probable ».
Redirection du trafic de messagerie
Selon Microsoft, la faille provient d’une erreur dans le service Autodiscover. Cette erreur permet à un pirate de faire transiter par sa propre infrastructure le trafic de messagerie destiné à Exchange Online. Dans les environnements Exchange hybrides, les serveurs sur site et l’environnement cloud partagent un principal de service. Ainsi, l’attaquant peut accéder aux e-mails confidentiels ou à d’autres données de communication.
La vulnérabilité ne peut être exploitée que localement, ce qui signifie que l’attaquant doit avoir accès au même réseau que le serveur Exchange. Précisément parce que l’exploitation est locale, il est difficile de détecter ses « traces » avec des outils de sécurité classiques. L’activité Exchange locale ne laisse pas toujours de traces.
Microsoft appelle à l’action
Entre-temps, l’agence gouvernementale américaine de cybersécurité CISA s’est également impliquée dans l’affaire, ce qui indique son caractère sérieux. Bien qu’aucun correctif ne soit encore disponible, Microsoft propose des actions pour atténuer le problème, comme la reconfiguration d’Autodiscover avec PowerShell.
Les serveurs Exchange sur site sont régulièrement utilisés comme levier par les attaquants pour intercepter le trafic de messagerie et s’infiltrer dans les organisations. Les pirates savent pertinemment que les organisations ne sont pas toujours rigoureuses avec les correctifs. C’est notamment pour cette raison que Microsoft souhaiterait que tous les utilisateurs passent à la version cloud. Le support pour Exchange 2016 et 2019 devait se terminer en octobre, mais Microsoft accorde un délai de six mois.