Из кабинета в облако за секунды — срочно обновите Exchange

Microsoft Exchange Server CVE-2025-53786 CISA уязвимость Shadowserver
Из кабинета в облако за секунды — срочно обновите Exchange
Microsoft Exchange Server CVE-2025-53786 CISA уязвимость Shadowserver

Уязвимость в Exchange, которая способна обнулить безопасность домена.

image

В начале апреля 2025 года Microsoft выпустила внеплановое обновление для Exchange Server, устраняющее критическую уязвимость CVE-2025-53786, которая затрагивает версии Exchange Server 2016, Exchange Server 2019 и подписочную редакцию Microsoft Exchange Server в гибридных конфигурациях. Проблема позволяет злоумышленникам, получившим административный доступ к локальному серверу Exchange, продвигаться по сети в облачную среду Microsoft, подделывая или изменяя доверенные токены и API-вызовы. Такой способ эскалации прав практически не оставляет обнаруживаемых следов, что делает атаки труднофиксируемыми и повышает их опасность. В результате успешной эксплуатации потенциально возможен полный компромисс домена.

Уязвимость стала следствием устаревшей архитектуры, где локальные и облачные компоненты разделяли идентичность. В рамках инициативы Secure Future Initiative Microsoft внедрила новую схему с выделенным гибридным приложением, устраняющим этот риск. Несмотря на отсутствие подтверждённых случаев эксплуатации, компания оценила вероятность атак как «Exploit More Likely», отметив, что создание устойчивого эксплойта технически реализуемо и способно привлечь внимание злоумышленников.

Однако сканирование инфраструктуры, проведённое платформой Shadowserver 10 августа, выявило, что более 29 тысяч серверов Exchange по всему миру до сих пор не обновлены. Лидерами по количеству уязвимых систем оказались США (свыше 7200 IP-адресов), Германия (более 6700) и Россия (около 2500). Это означает, что значительная часть корпоративных и государственных почтовых систем остаётся под угрозой потенциального взлома.

Реакция властей в США последовала незамедлительно. Уже на следующий день после раскрытия уязвимости агентство CISA выпустило экстренную директиву 25-02, обязывающую все федеральные ведомства, включая DHS, Минфин и Минэнерго, устранить проблему в срочном порядке. Согласно предписаниям, администраторы должны провести полную инвентаризацию Exchange-сред с помощью скрипта Microsoft Health Checker, отключить от сети публичные серверы, не поддерживаемые апрельским исправлением (включая устаревшие версии), а оставшиеся обновить до последних накопительных пакетов (CU14 или CU15 для Exchange 2019 и CU23 для Exchange 2016) и установить релиз апрельского исправления.

В отдельном предупреждении CISA подчеркнула, что невыполнение этих мер может привести к полной компрометации как облачной, так и локальной инфраструктуры. Хотя частным и коммерческим организациям предписание не адресовано напрямую, агентство настоятельно рекомендовало им действовать по аналогии с федеральными структурами, поскольку риск затрагивает всех, кто использует уязвимые конфигурации Exchange. По словам CISA, последствия могут оказаться катастрофическими для любой отрасли, если меры защиты будут проигнорированы.