Из кабинета в облако за секунды — срочно обновите Exchange
NewsMakerУязвимость в Exchange, которая способна обнулить безопасность домена.
В начале апреля 2025 года Microsoft выпустила внеплановое обновление для Exchange Server , устраняющее критическую уязвимость CVE-2025-53786 , которая затрагивает версии Exchange Server 2016, Exchange Server 2019 и подписочную редакцию Microsoft Exchange Server в гибридных конфигурациях. Проблема позволяет злоумышленникам, получившим административный доступ к локальному серверу Exchange, продвигаться по сети в облачную среду Microsoft, подделывая или изменяя доверенные токены и API-вызовы . Такой способ эскалации прав практически не оставляет обнаруживаемых следов, что делает атаки труднофиксируемыми и повышает их опасность. В результате успешной эксплуатации потенциально возможен полный компромисс домена.
Уязвимость стала следствием устаревшей архитектуры, где локальные и облачные компоненты разделяли идентичность. В рамках инициативы Secure Future Initiative Microsoft внедрила новую схему с выделенным гибридным приложением, устраняющим этот риск. Несмотря на отсутствие подтверждённых случаев эксплуатации, компания оценила вероятность атак как «Exploit More Likely», отметив, что создание устойчивого эксплойта технически реализуемо и способно привлечь внимание злоумышленников.
Однако сканирование инфраструктуры , проведённое платформой Shadowserver 10 августа, выявило , что более 29 тысяч серверов Exchange по всему миру до сих пор не обновлены. Лидерами по количеству уязвимых систем оказались США (свыше 7200 IP-адресов), Германия (более 6700) и Россия (около 2500). Это означает, что значительная часть корпоративных и государственных почтовых систем остаётся под угрозой потенциального взлома.
Реакция властей в США последовала незамедлительно. Уже на следующий день после раскрытия уязвимости агентство CISA выпустило экстренную директиву 25-02, обязывающую все федеральные ведомства, включая DHS, Минфин и Минэнерго, устранить проблему в срочном порядке. Согласно предписаниям, администраторы должны провести полную инвентаризацию Exchange-сред с помощью скрипта Microsoft Health Checker , отключить от сети публичные серверы, не поддерживаемые апрельским исправлением (включая устаревшие версии), а оставшиеся обновить до последних накопительных пакетов (CU14 или CU15 для Exchange 2019 и CU23 для Exchange 2016) и установить релиз апрельского исправления.
В отдельном предупреждении CISA подчеркнула, что невыполнение этих мер может привести к полной компрометации как облачной, так и локальной инфраструктуры. Хотя частным и коммерческим организациям предписание не адресовано напрямую, агентство настоятельно рекомендовало им действовать по аналогии с федеральными структурами , поскольку риск затрагивает всех, кто использует уязвимые конфигурации Exchange. По словам CISA, последствия могут оказаться катастрофическими для любой отрасли, если меры защиты будут проигнорированы.
В начале апреля 2025 года Microsoft выпустила внеплановое обновление для Exchange Server , устраняющее критическую уязвимость CVE-2025-53786 , которая затрагивает версии Exchange Server 2016, Exchange Server 2019 и подписочную редакцию Microsoft Exchange Server в гибридных конфигурациях. Проблема позволяет злоумышленникам, получившим административный доступ к локальному серверу Exchange, продвигаться по сети в облачную среду Microsoft, подделывая или изменяя доверенные токены и API-вызовы . Такой способ эскалации прав практически не оставляет обнаруживаемых следов, что делает атаки труднофиксируемыми и повышает их опасность. В результате успешной эксплуатации потенциально возможен полный компромисс домена.
Уязвимость стала следствием устаревшей архитектуры, где локальные и облачные компоненты разделяли идентичность. В рамках инициативы Secure Future Initiative Microsoft внедрила новую схему с выделенным гибридным приложением, устраняющим этот риск. Несмотря на отсутствие подтверждённых случаев эксплуатации, компания оценила вероятность атак как «Exploit More Likely», отметив, что создание устойчивого эксплойта технически реализуемо и способно привлечь внимание злоумышленников.
Однако сканирование инфраструктуры , проведённое платформой Shadowserver 10 августа, выявило , что более 29 тысяч серверов Exchange по всему миру до сих пор не обновлены. Лидерами по количеству уязвимых систем оказались США (свыше 7200 IP-адресов), Германия (более 6700) и Россия (около 2500). Это означает, что значительная часть корпоративных и государственных почтовых систем остаётся под угрозой потенциального взлома.
Реакция властей в США последовала незамедлительно. Уже на следующий день после раскрытия уязвимости агентство CISA выпустило экстренную директиву 25-02, обязывающую все федеральные ведомства, включая DHS, Минфин и Минэнерго, устранить проблему в срочном порядке. Согласно предписаниям, администраторы должны провести полную инвентаризацию Exchange-сред с помощью скрипта Microsoft Health Checker , отключить от сети публичные серверы, не поддерживаемые апрельским исправлением (включая устаревшие версии), а оставшиеся обновить до последних накопительных пакетов (CU14 или CU15 для Exchange 2019 и CU23 для Exchange 2016) и установить релиз апрельского исправления.
В отдельном предупреждении CISA подчеркнула, что невыполнение этих мер может привести к полной компрометации как облачной, так и локальной инфраструктуры. Хотя частным и коммерческим организациям предписание не адресовано напрямую, агентство настоятельно рекомендовало им действовать по аналогии с федеральными структурами , поскольку риск затрагивает всех, кто использует уязвимые конфигурации Exchange. По словам CISA, последствия могут оказаться катастрофическими для любой отрасли, если меры защиты будут проигнорированы.