Ресурс SiliconANGLE со ссылкой на данные некоммерческой организации Shadowserver Foundation сообщил, что, несмотря на выпущенное Microsoft ещё в апреле этого года обновление ПО, по состоянию на 10 августа у почти 30 тыс. Exchange-серверов по всему миру критическая уязвимость остаётся неисправленной. Уязвимость CVE-2025-53786, имеющая высокую степень опасности (CVSS 8,0 балла из 10), затрагивает Exchange 2016, Exchange 2019 и Exchange Server Subscription Edition в гибридных конфигурациях с Exchange Online.
Уязвимость позволяет злоумышленникам с правами администратора локального сервера повышать привилегии в подключённой облачной среде, что потенциально ставит под угрозу весь домен. «В гибридном развёртывании Exchange злоумышленник, который сначала получает административный доступ к локальному серверу Exchange, может потенциально повысить привилегии в облачной среде организации, что сложно выявить», — указано в предупреждении Microsoft.
По данным Shadowserver Foundation, по состоянию на 10 августа с этой уязвимостью в Сети нашлось 29 098 серверов Exchange. Больше всего их было выявлено в США (более 7200), за ними следуют Германия (6700) и Россия (2500), ещё тысячи уязвимых серверов находятся во Франции, Великобритании, Австрии и Канаде.
Источник изображения: Markus Spiske/unsplash.com
Агентство по обеспечению инфраструктурной и кибербезопасности (CISA) США выпустило 7 августа экстренную директиву 25-02 (Emergency Directive 25-02) для федеральных агентств, обновлённую 12 августа, с требованием немедленного принятия мер. Агентствам было предписано провести инвентаризацию сред Exchange с помощью Microsoft Health Checker, отключить от интернета неподдерживаемые Exchange Server или SharePoint Server, не говоря уже о прекращении использования устаревших версий. Также предписано установить исправление и последние накопительные обновления, и применить рекомендации Microsoft по использованию специального гибридного приложения для замены небезопасных субъектов общих служб.
Упомянутое в руководстве CISA исправление относится к обновлению, выпущенному Microsoft в апреле, которое тогда было представлено как архитектурное изменение для повышения безопасности гибридной идентификации. Сама Microsoft официально задокументировала уязвимость только 6 августа с последним обновлением от 13 августа. «Это серьёзная уязвимость Exchange, и специалисты по безопасности должны немедленно обратить на неё внимание», — сообщил ресурсу SiliconANGLE Томас Ричардс (Thomas Richards), директор по безопасности инфраструктуры компании Black Duck Software.
Он пояснил, что установки патча на сервер недостаточно, и, поскольку обнаружение взлома затруднено, Microsoft предоставила командам по безопасности план необходимых действий, чтобы убедиться, что все скомпрометированные токены будут заменены. «Это крайне важно для полного устранения уязвимости и обеспечения беспрепятственного доступа к ПО. CISA предупреждает, что если система не будет обновлена, возможна полная компрометация Exchange и Active Directory. Компрометация может оказать негативное влияние на бизнес-операции», — добавил эксперт.
Источники:
