Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
29 000 серверов Exchange уязвимы перед проблемой CVE-2025-53786, которая позволяет атакующим перемещаться внутри облачных сред Microsoft, что потенциально может привести к полной компрометации домена.
CVE-2025-53786 позволяет злоумышленникам, уже получившим административный доступ к on-premises серверам Exchange, повысить привилегии в подключенной облачной среде организации путем подделки или манипуляции доверенными токенами и API-запросами. Такая атака практически не оставляет следов, что затрудняет ее обнаружение.
Уязвимость представляет опасность для Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition в гибридных конфигурациях.
Уязвимость связана с изменениями, внесенными в апреле 2025 года, когда Microsoft представила и для Exchange в рамках Secure Future Initiative. Тогда компания перешла на новую архитектуру с отдельным гибридным приложением, заменяющим небезопасную общую идентификацию, которую ранее использовали on-premises серверы Exchange и Exchange Online.
Позднее исследователи обнаружили, что эта схема оставляет возможность для проведения опасных атак. На конференции специалисты компании Outsider Security продемонстрировали такую постэксплуатационную атаку.
Как предупреждают аналитики , в сети можно обнаружить 29 098 серверов Exchange, которые не получили патчи. Так, более 7200 IP-адресов были обнаружены в США, свыше 6700 — в Германии, и более 2500 — в России.
На следующий день после раскрытия информации о проблеме Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило , обязав все федеральные ведомства (включая Министерства финансов и энергетики) срочно устранить угрозу.
В отдельном представители CISA подчеркивали, что неустранение CVE-2025-53786 может привести к «полной компрометации гибридного облака и on-premises домена».
Как объяснил Моллема, пользователи Microsoft Exchange, которые уже установили упомянутый хотфикс и выполнили апрельские рекомендации компании, должны быть защищены от новой проблемы. Однако те, кто до сих пор не внедрил защитные меры, по-прежнему подвержены рискам и должны установить хотфикс, а также следовать инструкциям Microsoft (, ) по развертыванию отдельного гибридного приложения Exchange.
CVE-2025-53786 позволяет злоумышленникам, уже получившим административный доступ к on-premises серверам Exchange, повысить привилегии в подключенной облачной среде организации путем подделки или манипуляции доверенными токенами и API-запросами. Такая атака практически не оставляет следов, что затрудняет ее обнаружение.
Уязвимость представляет опасность для Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition в гибридных конфигурациях.
Уязвимость связана с изменениями, внесенными в апреле 2025 года, когда Microsoft представила и для Exchange в рамках Secure Future Initiative. Тогда компания перешла на новую архитектуру с отдельным гибридным приложением, заменяющим небезопасную общую идентификацию, которую ранее использовали on-premises серверы Exchange и Exchange Online.
Позднее исследователи обнаружили, что эта схема оставляет возможность для проведения опасных атак. На конференции специалисты компании Outsider Security продемонстрировали такую постэксплуатационную атаку.
Хотя специалисты Microsoft не обнаружили признаков эксплуатации проблемы в реальных атаках, уязвимость получила отметку «Exploitation More Likely» («Высокая вероятность эксплуатации»), то есть в компании ожидают скорого появления эксплоитов.
Как предупреждают аналитики , в сети можно обнаружить 29 098 серверов Exchange, которые не получили патчи. Так, более 7200 IP-адресов были обнаружены в США, свыше 6700 — в Германии, и более 2500 — в России.
На следующий день после раскрытия информации о проблеме Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило , обязав все федеральные ведомства (включая Министерства финансов и энергетики) срочно устранить угрозу.
В отдельном представители CISA подчеркивали, что неустранение CVE-2025-53786 может привести к «полной компрометации гибридного облака и on-premises домена».
Как объяснил Моллема, пользователи Microsoft Exchange, которые уже установили упомянутый хотфикс и выполнили апрельские рекомендации компании, должны быть защищены от новой проблемы. Однако те, кто до сих пор не внедрил защитные меры, по-прежнему подвержены рискам и должны установить хотфикс, а также следовать инструкциям Microsoft (, ) по развертыванию отдельного гибридного приложения Exchange.
Также специалист еще раз подчеркнул, что эксплуатация CVE-2025-53786 осуществляется уже после компрометации, то есть злоумышленник должен заранее скомпрометировать on-premises среду или серверы Exchange и иметь привилегии администратора.