SOS от CISA: у вас 3 дня, чтобы спасти свой домен от полного краха
NewsMakerCVE-2025-53786: критическая брешь, стирающая защиту гибридных Exchange до нуля.
Microsoft вместе с федеральными ведомствами предупредили о новой уязвимости высокой степени опасности в гибридных установках Exchange Server, которая может позволить атакующему, уже имеющему доступ к локальному серверу, получить расширенные права и закрепиться в облачной среде организации. Дефект получил идентификатор CVE-2025-53786, пока он не используется в реальных атаках, но в Microsoft считают, что вероятность эксплуатации высока. CISA в своём уведомлении прямо заявила, что при успешной атаке уязвимость способна привести к полному компрометированию домена и в облаке, и на локальной площадке.
Уже на следующий день CISA выпустило экстренную директиву , обязывающую федеральные агентства устранить проблему до 11 августа. Срочность связана не только с самим багом, но и с печальной историей предыдущих взломов Exchange. За последние годы корпоративная почтовая платформа Microsoft неоднократно становилась целью государственных хакеров: шпионские группы из России и Китая, включая китайскую Salt Typhoon, использовали уязвимости для доступа к внутренней переписке и документам. В 2023-м в результате одной из атак, приписанной Storm-0558, злоумышленники получили около 60 тысяч писем Госдепартамента США. Тогда расследование Совета по обзору кибербезопасности установило, что инцидент стал возможен из-за «цепочки предотвратимых ошибок» в инфраструктуре Microsoft.
CVE-2025-53786 относится к классу уязвимостей повышения привилегий и был обнаружен сотрудником Outsider Security Дирком-Яном Моллема. Проблема коренится в том, как гибридные конфигурации Exchange, объединяющие локальный сервер с Exchange Online, используют общий идентификатор для аутентификации между средами. Этот механизм, обеспечивающий единый вход, при определённых настройках даёт возможность злоумышленнику перенести свой административный контроль с локальной инсталляции в облако.
В апреле Microsoft уже вносила изменения в архитектуру гибридных установок, заявляя об усилении защиты как в локальной, так и в облачной части. Однако последующий анализ показал, что опубликованные тогда инструкции и шаги конфигурации имели дополнительные, не учтённые тогда последствия для безопасности. В результате апрельское уведомление фактически содержит меры, которые устраняют CVE-2025-53786, если следовать им в полном объёме.
Критически важно, что для эксплуатации этой уязвимости атакующему сначала нужно обладать административными правами на локальном сервере Exchange. Если же этот барьер пройден, он получает возможность поднять свои права в подключённой облачной среде без заметных для журналов и мониторинга действий, что значительно усложняет обнаружение инцидента.
Для защиты Microsoft рекомендует администраторам гибридных установок установить апрельский хотфикс или более свежую версию Exchange на локальных серверах, строго выполнить конфигурационные шаги из специального руководства по гибридному приложению Exchange, а затем обязательно сбросить атрибут keyCredentials у сервисного принципала, чтобы закрыть лазейку.
Всё происходит на фоне ещё одного громкого сбоя в безопасности Microsoft — недавней уязвимости в SharePoint , которую уже успели использовать китайские шпионы, похитители данных и вымогательские группировки. Появление CVE-2025-53786 только усиливает давление на компанию, которой всё чаще приходится латать критические дыры в своих корпоративных продуктах до того, как их обнаружат и эксплуатируют противники.
Microsoft вместе с федеральными ведомствами предупредили о новой уязвимости высокой степени опасности в гибридных установках Exchange Server, которая может позволить атакующему, уже имеющему доступ к локальному серверу, получить расширенные права и закрепиться в облачной среде организации. Дефект получил идентификатор CVE-2025-53786, пока он не используется в реальных атаках, но в Microsoft считают, что вероятность эксплуатации высока. CISA в своём уведомлении прямо заявила, что при успешной атаке уязвимость способна привести к полному компрометированию домена и в облаке, и на локальной площадке.
Уже на следующий день CISA выпустило экстренную директиву , обязывающую федеральные агентства устранить проблему до 11 августа. Срочность связана не только с самим багом, но и с печальной историей предыдущих взломов Exchange. За последние годы корпоративная почтовая платформа Microsoft неоднократно становилась целью государственных хакеров: шпионские группы из России и Китая, включая китайскую Salt Typhoon, использовали уязвимости для доступа к внутренней переписке и документам. В 2023-м в результате одной из атак, приписанной Storm-0558, злоумышленники получили около 60 тысяч писем Госдепартамента США. Тогда расследование Совета по обзору кибербезопасности установило, что инцидент стал возможен из-за «цепочки предотвратимых ошибок» в инфраструктуре Microsoft.
CVE-2025-53786 относится к классу уязвимостей повышения привилегий и был обнаружен сотрудником Outsider Security Дирком-Яном Моллема. Проблема коренится в том, как гибридные конфигурации Exchange, объединяющие локальный сервер с Exchange Online, используют общий идентификатор для аутентификации между средами. Этот механизм, обеспечивающий единый вход, при определённых настройках даёт возможность злоумышленнику перенести свой административный контроль с локальной инсталляции в облако.
В апреле Microsoft уже вносила изменения в архитектуру гибридных установок, заявляя об усилении защиты как в локальной, так и в облачной части. Однако последующий анализ показал, что опубликованные тогда инструкции и шаги конфигурации имели дополнительные, не учтённые тогда последствия для безопасности. В результате апрельское уведомление фактически содержит меры, которые устраняют CVE-2025-53786, если следовать им в полном объёме.
Критически важно, что для эксплуатации этой уязвимости атакующему сначала нужно обладать административными правами на локальном сервере Exchange. Если же этот барьер пройден, он получает возможность поднять свои права в подключённой облачной среде без заметных для журналов и мониторинга действий, что значительно усложняет обнаружение инцидента.
Для защиты Microsoft рекомендует администраторам гибридных установок установить апрельский хотфикс или более свежую версию Exchange на локальных серверах, строго выполнить конфигурационные шаги из специального руководства по гибридному приложению Exchange, а затем обязательно сбросить атрибут keyCredentials у сервисного принципала, чтобы закрыть лазейку.
Всё происходит на фоне ещё одного громкого сбоя в безопасности Microsoft — недавней уязвимости в SharePoint , которую уже успели использовать китайские шпионы, похитители данных и вымогательские группировки. Появление CVE-2025-53786 только усиливает давление на компанию, которой всё чаще приходится латать критические дыры в своих корпоративных продуктах до того, как их обнаружат и эксплуатируют противники.