LINUX
TL;DR : Une vulnérabilité critique dans Exchange Server hybride permet aux attaquants de passer du serveur local au cloud Microsoft 365 comme s’ils avaient les clés du château. Plus de 29 000 serveurs sont encore vulnérables. Spoiler : c’est pas bon.
Le drame en quelques mots
Microsoft vient de révéler l’existence de CVE-2025-53786, une vulnérabilité d’élévation de privilèges qui fait froid dans le dos. Cette faille affecte les déploiements hybrides de Microsoft Exchange Server et permet à un attaquant ayant des droits administrateur sur un serveur Exchange on-premise d’escalader ses privilèges dans l’environnement cloud connecté.
Pour faire simple : si un pirate prend le contrôle de votre serveur Exchange local, il peut ensuite se balader dans votre tenant Microsoft 365 comme s’il était chez lui. Et le pire ? Il peut faire tout ça sans laisser de traces facilement détectables.
Pourquoi c’est si grave ?
Score CVSS 3.1 : 8.0/10 – Autant dire que c’est dans la catégorie “très pas bien”.
Cette faille existe parce qu’Exchange Server et Exchange Online partagent “le même principal de service dans les configurations hybrides”. En gros, Microsoft a créé une autoroute entre votre serveur local et le cloud, et cette autoroute n’avait pas de péage.
Les environnements concernés :
- Exchange Server 2016
- Exchange Server 2019
- Microsoft Exchange Server Subscription Edition
Tous en configuration hybride, évidemment.
Les chiffres qui font peur
Selon les scans de Shadowserver, plus de 29 000 serveurs Exchange sont encore non patchés contre cette vulnérabilité. Les pays les plus touchés ? Les États-Unis (7 300 serveurs), l’Allemagne (6 500) et la Russie (2 500).
Pour mettre ça en perspective : c’est comme si 29 000 banques avaient laissé leur coffre-fort ouvert avec un panneau “Servez-vous” à l’entrée.
La réaction en mode panique de CISA
L’agence américaine de cybersécurité n’y va pas avec le dos de la cuillère. CISA a émis la directive d’urgence ED 25-02, donnant jusqu’au lundi 11 août 2025 (9h00 EDT) aux agences fédérales pour corriger cette faille.
Le message est clair : “L’exploitation de cette vulnérabilité pourrait mener à un compromis total du domaine hybride cloud et on-premise”. Traduction : c’est le chaos total si vous ne bougez pas.
Comment se protéger (avant qu’il ne soit trop tard)
Microsoft n’a pas chômé et a sorti les solutions :
1. Le patch qui sauve
Microsoft avait déjà publié un Hot Fix en avril 2025 qui améliore la sécurité des déploiements hybrides Exchange. Si vous ne l’avez pas encore installé, c’est le moment ou jamais.
2. Les étapes critiques selon CISA
- Inventaire complet : Utilisez le script Microsoft Exchange Server Health Checker
- Déconnexion immédiate des serveurs non éligibles aux mises à jour d’avril 2025
- Installation des dernières Cumulative Updates compatibles
- Application des Hotfix Updates sur tous les serveurs hybrides
3. Pour les configurations hybrides
- Déployer l’application hybride Exchange dédiée
- Suivre les recommandations de configuration de Microsoft
- Nettoyer les anciens principaux de service si nécessaire
Le mot de la fin
Cette vulnérabilité illustre parfaitement les risques des architectures hybrides : quand on mélange on-premise et cloud, les failles de sécurité peuvent avoir des conséquences démultipliées.
Conseil d’ami : Si vous gérez un environnement Exchange hybride, ce n’est pas le moment de procrastiner. Patchez maintenant, analysez ensuite. Votre DSI vous remerciera (et votre patron aussi, accessoirement).
Et pour ceux qui se demandent encore si c’est si grave : imaginez expliquer à votre direction que toutes les données de l’entreprise ont fuité parce que vous avez reporté une mise à jour “à la semaine prochaine”. Pas glop.
Sources et ressources utiles :
