Vulnerabilità in Exchange ibrido apre le porte al cloud: rischio dominio compromesso senza tracce

Microsoft ha recentemente divulgato dettagli su una vulnerabilità critica (CVE-2025-53786) che interessa le implementazioni ibride di Exchange Server, sollevando gravi preoccupazioni in ambito enterprise e governativo. Il difetto, classificato come escalation di privilegi, potrebbe consentire ad attori malevoli di ottenere diritti elevati nell’ambiente Exchange Online sfruttando un Exchange Server compromesso in locale.

Exchange ibrido: un ponte tra on-premises e cloud, ma anche un vettore di rischio

Le implementazioni ibride di Exchange consentono l’integrazione tra i server Exchange on-premises e il servizio Exchange Online di Microsoft 365. Si tratta di una configurazione adottata da molte organizzazioni per mantenere coerenza tra la gestione interna e quella cloud di posta elettronica, calendari condivisi, GAL (Global Address List) e flussi di posta.

Tuttavia, uno degli aspetti chiave del funzionamento ibrido è la condivisione del Service Principal tra Exchange Server e Exchange Online. Si chiama Service Principal l’identità applicativa utilizzata per autenticare le comunicazioni tra ambienti locali e cloud. Ed è proprio questa fiducia implicita a rappresentare l’anello debole.

Il problema: fiducia cieca e tracciabilità limitata

Se un attaccante ottiene accesso amministrativo a un Exchange Server locale, può abusare della fiducia acquisita per generare token o invocare API in nome del Service Principal condiviso.  Le richieste così avanzate, apparentemente legittime, vengono accettate senza sospetti da Exchange Online, aprendo le porte a privilegi elevati nel cloud.

Il problema è aggravato dal fatto che le attività originate dal server on-premises non sempre lasciano tracce nei log di Microsoft 365. Sistemi di auditing come Microsoft Purview o i log di sicurezza cloud potrebbero non rilevare anomalie se l’attacco parte dall’infrastruttura locale.

Un attaccante che ottiene il controllo di un server Exchange on-premises può scalare i privilegi nel cloud senza lasciare tracce facilmente individuabili, anche tramite audit. (Microsoft, nel bollettino ufficiale).

Microsoft segnala che anche le organizzazioni che hanno dismesso Exchange ibrido in passato ma non hanno effettuato la corretta pulizia del Service Principal, rimangono vulnerabili. Il reset delle credenziali rimane un passaggio fondamentale anche in questi casi.

CVE-2025-53786: vulnerabilità ad alta probabilità di sfruttamento

La vulnerabilità cui fa riferimento Microsoft, interessa Exchange Server 2016, Exchange Server 2019 e la Exchange Server Subscription Edition (nuova edizione in abbonamento). Pur non avendo rilevato attacchi attivi al momento della pubblicazione, i tecnici di Redmond indicano che lo sviluppo di codice exploit è considerato relativamente semplice e prevedibile, aumentando il rischio di utilizzo da parte di attori statali o criminali.

Microsoft ha già pubblicato un aggiornamento correttivo (patch di aprile 2025) e una serie di linee guida per rafforzare le configurazioni ibride. Le principali raccomandazioni includono:

1. Installazione dell’hotfix di aprile 2025 (o versioni successive) su tutti i server Exchange on-premises coinvolti.
2. Adozione dell’app ibrida di Exchange, che guida alla configurazione sicura dell’ambiente.
3. Reset delle keyCredentials del Service Principal tramite lo strumento “Service Principal Clean-Up Mode”.
4. Verifica dello stato di salute della configurazione tramite lo strumento Microsoft Exchange Health Checker.

CISA (Cybersecurity and Infrastructure Security Agency) ha pubblicato una direttiva di emergenza rivolta agli enti federali, imponendo la mitigazione obbligatoria entro l’11 agosto 2025. L’Agenzia ha inoltre messo in guardia contro il rischio di compromissione totale del dominio ibrido, sia in cloud che on-premises.