Loert een nieuw Exchange-beveiligingsdrama om de hoek? Microsoft rapporteert een kritieke kwetsbaarheid die specifiek hybride omgevingen viseert.
Veel Microsoft-klanten zijn nog volop aan het bekomen van het SharePoint-lek of het volgende beveiligingsrisico loert al om de hoek. Deze keer is het weer de beurt aan Exchange om ons de stuipen op het lijf te jagen. Microsoft rapporteert een recent ontdekte kwetsbaarheid CVE-2025-53786 die met een CVSS-score 8.8 het label ‘kritiek’ krijgt.
lees ook
SharePoint blijft onder schot: nieuwe aanvalsvarianten duiken op
CVE-2025-53786 kan enkel schade aanrichten in hybride Exchange-configuraties die de on-prem versie combineren met de cloud. Werk je volledig cloud of on-prem, dan ben je volgens Microsoft veilig. Aanvallers kunnen de kwetsbaarheid misbruiken om mailverkeer van cloudservers om te leiden naar gekaapte on-premservers. In de praktijk is dat nog niet gebeurd, maar Microsoft beschouwt uitbuiting als ‘zeer waarschijnlijk’.
Mailverkeer omleiden
Volgens Microsoft ontstaat het lek door een fout in de Autodiscover-service. Via deze fout kan een hacker e-mailverkeer dat bedoeld is voor Exchange Online via zijn eigen infrastructuur te laten verlopen. In hybride Exchange-omgevingen hebben on-premservers en de cloudomgeving een gedeelde service-principal. Zo kan de aanvaller toegang krijgen tot vertrouwelijke e-mails of andere communicatiegegevens.
De kwetsbaarheid kan alleen lokaal worden misbruikt, wat betekent dat de aanvaller toegang moet hebben tot hetzelfde netwerk als de Exchange-server. Net omdat misbruik lokaal gebeurt, is het wel moeilijk om de sporen ervan op te speuren met klassieke beveiligingstools. Lokale Exchange-activiteit laat niet altijd ‘sporen’ na.
Microsoft roept op tot actie
Inmiddels heeft ook het Amerikaanse overheidsagentschap voor cybersecurity CISA zich met de zaken gemoeid, dus dan weet je dat het serieus is. Een patch is nog niet beschikbaar, maar Microsoft stelt handelingen voor om het probleem te mitigeren, zoals Autodicover herconfigureren met PowerShell.
On-prem Exchange-servers worden regelmatig als hefboom gebruikt door aanvallers om mailverkeer te onderscheppen en binnen te breken bij organisaties. Hackers weten maar al te goed dat organisaties niet altijd zorgvuldig omspringen met patches. Mede om die reden zou Microsoft liefst alle gebruikers op de cloudversie willen krijgen. De ondersteuning voor Exchange 2016 en 2019 zou in oktober aflopen, maar Microsoft gunt zes maanden uitstel.