Дослідники кібербезпеки виявили серйозну загрозу для корпоративних IT-інфраструктур: критична уразливість CVE-2025-53786 ставить під удар близько 29 тисяч серверів Microsoft Exchange у всьому світі. Особливу небезпеку ця вада становить для організацій, які використовують гібридні хмарні рішення, надаючи зловмисникам можливість переміщатися між локальними та хмарними середовищами.
Технічні особливості експлуатації уразливості
Механізм роботи CVE-2025-53786 базується на можливості підвищення привілеїв у хмарній інфраструктурі для атакуючих, які вже мають адміністративні права на локальних серверах Exchange. Зловмисники досягають цього шляхом маніпуляцій з довіреними токенами та API-запросами, що робить такі атаки практично невидимими для стандартних систем моніторингу.
Під загрозою перебувають наступні версії програмного забезпечення в гібридних конфігураціях:
- Exchange Server 2016
- Exchange Server 2019
- Microsoft Exchange Server Subscription Edition
Архітектурні зміни як джерело проблеми
Причина виникнення уразливості пов’язана з архітектурними модифікаціями, які Microsoft впровадила у квітні 2025 року в рамках ініціативи Secure Future Initiative. Компанія представила нову архітектуру з окремим гібридним додатком, покликаним замінити небезпечну спільну систему ідентифікації між локальними серверами Exchange та Exchange Online.
Дірк-Ян Моллема з Outsider Security, який продемонстрував експлуатацію уразливості на конференції Black Hat, зазначає: “Спочатку я не розглядав це як уразливість, оскільки протокол був розроблений з передбаченими функціями, але в ньому були відсутні критично важливі елементи безпеки”.
Глобальний масштаб загрози
За даними аналітиків Shadowserver, у глобальній мережі виявлено 29 098 незахищених серверів Exchange. Географічний розподіл уразливих систем демонструє наступну картину:
- США: понад 7 200 IP-адрес
- Німеччина: більше 6 700 серверів
- Росія: понад 2 500 систем
Реакція регулюючих органів
Агентство з кібербезпеки та захисту інфраструктури США (CISA) негайно відреагувало на виявлену загрозу, видавши надзвичайну директиву. Документ зобов’язує всі федеральні відомства, включаючи Міністерства фінансів та енергетики, терміново усунути виявлену уразливість.
В офіційному бюлетені CISA підкреслюється, що неусунення CVE-2025-53786 може призвести до повної компрометації гібридної хмари та локального домену. Microsoft присвоїла уразливості статус “Exploitation More Likely”, що вказує на високу ймовірність появи працюючих експлойтів найближчим часом.
Стратегії захисту та усунення загрози
Організації, які вже впровадили квітневі рекомендації Microsoft та встановили відповідний хотфікс, мають бути захищені від нової загрози. Однак для повної безпеки недостатньо простого застосування патчу – потрібне виконання додаткових конфігураційних дій.
Для надійного захисту необхідно:
- Встановити актуальний хотфікс від Microsoft
- Виконати міграцію на виділений service principal
- Дотримуватися офіційних інструкцій з розгортання окремого гібридного додатку Exchange
Особливості постексплуатаційної загрози
Критично важливо розуміти, що CVE-2025-53786 являє собою постексплуатаційну загрозу. Це означає, що зловмисник повинен попередньо отримати адміністративні привілеї в локальному середовищі або на серверах Exchange. Проте після успішної компрометації атакуючий отримує можливість розширити свою присутність на хмарні ресурси організації.
Дана уразливість підкреслює критичну важливість комплексного підходу до захисту гібридних хмарних інфраструктур. Організаціям слід негайно оцінити свою поточну конфігурацію Exchange, застосувати необхідні оновлення та посилити моніторинг підозрілої активності в гібридних середовищах. Ігнорування цих заходів може призвести до масштабних інцидентів інформаційної безпеки з далекосяжними наслідками для бізнесу та репутації компанії.
