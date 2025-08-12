29 000 серверов Exchange уязвимы перед проблемой CVE-2025-53786, которая позволяет атакующим перемещаться внутри облачных сред Microsoft, что потенциально может привести к полной компрометации домена.

CVE-2025-53786 позволяет злоумышленникам, уже получившим административный доступ к on-premises серверам Exchange, повысить привилегии в подключенной облачной среде организации путем подделки или манипуляции доверенными токенами и API-запросами. Такая атака практически не оставляет следов, что затрудняет ее обнаружение.

Уязвимость представляет опасность для Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition в гибридных конфигурациях.

Уязвимость связана с изменениями, внесенными в апреле 2025 года, когда Microsoft представила рекомендации и хотфикс для Exchange в рамках Secure Future Initiative. Тогда компания перешла на новую архитектуру с отдельным гибридным приложением, заменяющим небезопасную общую идентификацию, которую ранее использовали on-premises серверы Exchange и Exchange Online.

Позднее исследователи обнаружили, что эта схема оставляет возможность для проведения опасных атак. На конференции Black Hat специалисты компании Outsider Security продемонстрировали такую постэксплуатационную атаку.

«Изначально я не посчитал это уязвимостью, поскольку протокол, который используется для этих атак, был разработан с учетом функций, о которых говорилось в докладе, и в нем попросту отсутствовали важные элементы управления безопасностью», — рассказывает Дирк-Ян Моллема (Dirk-Jan Mollema) из Outsider Security.

Хотя специалисты Microsoft не обнаружили признаков эксплуатации проблемы в реальных атаках, уязвимость получила отметку «Exploitation More Likely» («Высокая вероятность эксплуатации»), то есть в компании ожидают скорого появления эксплоитов.

Как предупреждают аналитики Shadowserver, в сети можно обнаружить 29 098 серверов Exchange, которые не получили патчи. Так, более 7200 IP-адресов были обнаружены в США, свыше 6700 — в Германии, и более 2500 — в России.

На следующий день после раскрытия информации о проблеме Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило чрезвычайную директиву, обязав все федеральные ведомства (включая Министерства финансов и энергетики) срочно устранить угрозу.

В отдельном бюллетене безопасности представители CISA подчеркивали, что неустранение CVE-2025-53786 может привести к «полной компрометации гибридного облака и on-premises домена».

Как объяснил Моллема, пользователи Microsoft Exchange, которые уже установили упомянутый хотфикс и выполнили апрельские рекомендации компании, должны быть защищены от новой проблемы. Однако те, кто до сих пор не внедрил защитные меры, по-прежнему подвержены рискам и должны установить хотфикс, а также следовать инструкциям Microsoft (1, 2) по развертыванию отдельного гибридного приложения Exchange.

«В этом случае недостаточно просто применить исправление, необходимо выполнить дополнительные действия вручную для перехода на выделенный service principal, — пояснил Моллема. — Срочность с точки зрения безопасности определяется тем, насколько для администраторов важна изоляция on-premises ресурсов Exchange и ресурсов, размещенных в облаке. В старой конфигурации гибридная система Exchange имела полный доступ ко всем ресурсам в Exchange Online и SharePoint».

Также специалист еще раз подчеркнул, что эксплуатация CVE-2025-53786 осуществляется уже после компрометации, то есть злоумышленник должен заранее скомпрометировать on-premises среду или серверы Exchange и иметь привилегии администратора.