29 000 серверов Exchange уязвимы перед проблемой CVE-2025-53786, которая позволяет атакующим перемещаться внутри облачных сред Microsoft, что потенциально может привести к полной компрометации домена.
CVE-2025-53786 позволяет злоумышленникам, уже получившим административный доступ к on-premises серверам Exchange, повысить привилегии в подключенной облачной среде организации путем подделки или манипуляции доверенными токенами и API-запросами. Такая атака практически не оставляет следов, что затрудняет ее обнаружение.
Уязвимость представляет опасность для Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition в гибридных конфигурациях.
Уязвимость связана с изменениями, внесенными в апреле 2025 года, когда Microsoft представила
рекомендации и
хотфикс для Exchange в рамках Secure Future Initiative. Тогда компания перешла на новую архитектуру с отдельным гибридным приложением, заменяющим небезопасную общую идентификацию, которую ранее использовали on-premises серверы Exchange и Exchange Online.
Позднее исследователи обнаружили, что эта схема оставляет возможность для проведения опасных атак. На конференции
Black Hat специалисты компании Outsider Security продемонстрировали такую постэксплуатационную атаку.
«Изначально я не посчитал это уязвимостью, поскольку протокол, который используется для этих атак, был разработан с учетом функций, о которых говорилось в докладе, и в нем попросту отсутствовали важные элементы управления безопасностью», — рассказывает Дирк-Ян Моллема (Dirk-Jan Mollema) из Outsider Security.
|
Хотя специалисты Microsoft не обнаружили признаков эксплуатации проблемы в реальных атаках, уязвимость получила отметку «Exploitation More Likely» («Высокая вероятность эксплуатации»), то есть в компании ожидают скорого появления эксплоитов.
Как предупреждают аналитики
Shadowserver, в сети можно обнаружить 29 098 серверов Exchange, которые не получили патчи. Так, более 7200 IP-адресов были обнаружены в США, свыше 6700 — в Германии, и более 2500 — в России.
На следующий день после раскрытия информации о проблеме Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило
чрезвычайную директиву, обязав все федеральные ведомства (включая Министерства финансов и энергетики) срочно устранить угрозу.
В отдельном
бюллетене безопасности представители CISA подчеркивали, что неустранение CVE-2025-53786 может привести к «полной компрометации гибридного облака и on-premises домена».
Как объяснил Моллема, пользователи Microsoft Exchange, которые уже установили упомянутый хотфикс и выполнили апрельские рекомендации компании, должны быть защищены от новой проблемы. Однако те, кто до сих пор не внедрил защитные меры, по-прежнему подвержены рискам и должны установить хотфикс, а также следовать инструкциям Microsoft (
1,
2) по развертыванию отдельного гибридного приложения Exchange.
«В этом случае недостаточно просто применить исправление, необходимо выполнить дополнительные действия вручную для перехода на выделенный service principal, — пояснил Моллема. — Срочность с точки зрения безопасности определяется тем, насколько для администраторов важна изоляция on-premises ресурсов Exchange и ресурсов, размещенных в облаке. В старой конфигурации гибридная система Exchange имела полный доступ ко всем ресурсам в Exchange Online и SharePoint».
|
Также специалист еще раз подчеркнул, что эксплуатация CVE-2025-53786 осуществляется уже после компрометации, то есть злоумышленник должен заранее скомпрометировать on-premises среду или серверы Exchange и иметь привилегии администратора.
@ xakep.ru
08-14-2025, 11:26 AM
Hybrid Mode
