Специалисты по информационной безопасности обнаружили критическую уязвимость CVE-2025-53786, которая затрагивает около 29000 серверов Microsoft Exchange по всему миру. Данная угроза представляет особую опасность для организаций, использующих гибридные облачные конфигурации, поскольку позволяет злоумышленникам осуществлять горизонтальное перемещение между локальными и облачными средами.
Механизм эксплуатации уязвимости CVE-2025-53786
Уязвимость предоставляет атакующим, уже имеющим административные права на локальных серверах Exchange, возможность повысить свои привилегии в подключенной облачной инфраструктуре организации. Злоумышленники достигают этого путем манипуляции доверенными токенами и API-запросами, что делает подобные атаки практически незаметными для традиционных средств мониторинга.
Под угрозой находятся следующие версии программного обеспечения в гибридных конфигурациях:
- Exchange Server 2016
- Exchange Server 2019
- Microsoft Exchange Server Subscription Edition
Происхождение проблемы и архитектурные изменения Microsoft
Корень проблемы лежит в архитектурных изменениях, внедренных Microsoft в апреле 2025 года в рамках инициативы Secure Future Initiative. Компания представила новую архитектуру с отдельным гибридным приложением, призванным заменить небезопасную общую систему идентификации между локальными серверами Exchange и Exchange Online.
Дирк-Ян Моллема из компании Outsider Security, который продемонстрировал эксплуатацию уязвимости на конференции Black Hat, отмечает: «Изначально я не рассматривал это как уязвимость, поскольку используемый протокол был разработан с предусмотренными функциями, но в нем отсутствовали критически важные элементы безопасности».
Масштабы угрозы и географическое распределение
Согласно данным аналитиков Shadowserver, в глобальной сети обнаружено 29098 незащищенных серверов Exchange. Географическое распределение уязвимых систем показывает следующую картину:
- США: более 7200 IP-адресов
- Германия: свыше 6700 серверов
- Россия: более 2500 систем
Официальная реакция регулирующих органов
Агентство по кибербезопасности и защите инфраструктуры США (CISA) незамедлительно отреагировало на обнаружение угрозы, выпустив чрезвычайную директиву. Документ обязывает все федеральные ведомства, включая Министерства финансов и энергетики, срочно устранить выявленную уязвимость.
В официальном бюллетене CISA подчеркивается, что неустранение CVE-2025-53786 может привести к полной компрометации гибридного облака и локального домена. Microsoft присвоила уязвимости статус «Exploitation More Likely», что указывает на высокую вероятность появления работающих эксплоитов в ближайшее время.
Рекомендации по защите и устранению угрозы
Организации, уже внедрившие апрельские рекомендации Microsoft и установившие соответствующий хотфикс, должны быть защищены от новой угрозы. Однако для полной безопасности недостаточно простого применения патча — требуется выполнение дополнительных конфигурационных действий.
Для надежной защиты необходимо:
- Установить актуальный хотфикс от Microsoft
- Выполнить миграцию на выделенный service principal
- Следовать официальным инструкциям по развертыванию отдельного гибридного приложения Exchange
Важные особенности эксплуатации
Критически важно понимать, что CVE-2025-53786 представляет собой постэксплуатационную угрозу. Это означает, что злоумышленник должен предварительно получить административные привилегии в локальной среде или на серверах Exchange. Однако после успешной компрометации атакующий получает возможность расширить свое присутствие на облачные ресурсы организации.
Данная уязвимость подчеркивает критическую важность комплексного подхода к защите гибридных облачных инфраструктур. Организациям следует незамедлительно оценить свою текущую конфигурацию Exchange, применить необходимые обновления и усилить мониторинг подозрительной активности в гибридных средах. Пренебрежение этими мерами может привести к масштабным инцидентам информационной безопасности с далеко идущими последствиями.
