<div id="post_message_809448">

29 000 серверов Exchange уязвимы перед проблемой CVE-2025-53786, которая позволяет атакующим перемещаться внутри облачных сред Microsoft, что потенциально может привести к полной компрометации домена.<br/>
<br/>
CVE-2025-53786 позволяет злоумышленникам, уже получившим административный доступ к on-premises серверам Exchange, повысить привилегии в подключенной облачной среде организации путем подделки или манипуляции доверенными токенами и API-запросами. Такая атака практически не оставляет следов, что затрудняет ее обнаружение.<br/>
<br/>
Уязвимость представляет опасность для Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition в гибридных конфигурациях.<br/>
<br/>
Уязвимость связана с изменениями, внесенными в апреле 2025 года, когда Microsoft представила <a href="https://techcommunity.microsoft.com/blog/exchange/exchange-server-security-changes-for-hybrid-deployments/4396833" target="_blank">рекомендации </a>и <a href="https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471" target="_blank">хотфикс </a>для Exchange в рамках Secure Future Initiative. Тогда компания перешла на новую архитектуру с отдельным гибридным приложением, заменяющим небезопасную общую идентификацию, которую ранее использовали on-premises серверы Exchange и Exchange Online.<br/>
<br/>
Позднее исследователи обнаружили, что эта схема оставляет возможность для проведения опасных атак. На конференции <a href="https://blackhat.com/us-25/briefings/schedule/#advanced-active-directory-to-entra-id-lateral-movement-techniques-46500" target="_blank">Black Hat</a> специалисты компании Outsider Security продемонстрировали такую постэксплуатационную атаку.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Изначально я не посчитал это уязвимостью, поскольку протокол, который используется для этих атак, был разработан с учетом функций, о которых говорилось в докладе, и в нем попросту отсутствовали важные элементы управления безопасностью», — рассказывает Дирк-Ян Моллема (Dirk-Jan Mollema) из Outsider Security.</font>
</td>
</tr>
</table>
</div>Хотя специалисты Microsoft не обнаружили признаков эксплуатации проблемы в реальных атаках, уязвимость получила отметку «Exploitation More Likely» («Высокая вероятность эксплуатации»), то есть в компании ожидают скорого появления эксплоитов.<br/>
<br/>
Как предупреждают аналитики <a href="https://bsky.app/profile/shadowserver.bsky.social/post/3lvvh76iuss2c" target="_blank">Shadowserver</a>, в сети можно обнаружить 29 098 серверов Exchange, которые не получили патчи. Так, более 7200 IP-адресов были обнаружены в США, свыше 6700 — в Германии, и более 2500 — в России.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/548378/Exchange_Servers_unpatched_again.jpg"/><br/>
<br/>
На следующий день после раскрытия информации о проблеме Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило <a href="https://www.bleepingcomputer.com/news/security/cisa-orders-fed-agencies-to-patch-new-cve-2025-53786-exchange-flaw/" target="_blank">чрезвычайную директиву</a>, обязав все федеральные ведомства (включая Министерства финансов и энергетики) срочно устранить угрозу.<br/>
<br/>
В отдельном <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-high-severity-flaw-in-hybrid-exchange-deployments/" target="_blank">бюллетене безопасности</a> представители CISA подчеркивали, что неустранение CVE-2025-53786 может привести к «полной компрометации гибридного облака и on-premises домена».<br/>
<br/>
Как объяснил Моллема, пользователи Microsoft Exchange, которые уже установили упомянутый хотфикс и выполнили апрельские рекомендации компании, должны быть защищены от новой проблемы. Однако те, кто до сих пор не внедрил защитные меры, по-прежнему подвержены рискам и должны установить хотфикс, а также следовать инструкциям Microsoft (<a href="https://techcommunity.microsoft.com/blog/exchange/released-april-2025-exchange-server-hotfix-updates/4402471" target="_blank">1</a>, <a href="https://learn.microsoft.com/en-us/Exchange/hybrid-deployment/deploy-dedicated-hybrid-app" target="_blank">2</a>) по развертыванию отдельного гибридного приложения Exchange.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«В этом случае недостаточно просто применить исправление, необходимо выполнить дополнительные действия вручную для перехода на выделенный service principal, — пояснил Моллема. — Срочность с точки зрения безопасности определяется тем, насколько для администраторов важна изоляция on-premises ресурсов Exchange и ресурсов, размещенных в облаке. В старой конфигурации гибридная система Exchange имела полный доступ ко всем ресурсам в Exchange Online и SharePoint».</font>
</td>
</tr>
</table>
</div>Также специалист еще раз подчеркнул, что эксплуатация CVE-2025-53786 осуществляется уже после компрометации, то есть злоумышленник должен заранее скомпрометировать on-premises среду или серверы Exchange и иметь привилегии администратора.<br/>
<br/>
<a href="https://xakep.ru/2025/08/12/cve-2025-53786" target="_blank">@ xakep.ru</a>
</div>