- 19,648
- 44
- 8 Ноя 2022
CVE-2025-53786: критическая брешь, стирающая защиту гибридных Exchange до нуля.
Microsoft вместе с федеральными ведомствами Для просмотра ссылки Войдиили Зарегистрируйся о новой уязвимости высокой степени опасности в гибридных установках Exchange Server, которая может позволить атакующему, уже имеющему доступ к локальному серверу, получить расширенные права и закрепиться в облачной среде организации. Дефект получил идентификатор CVE-2025-53786, пока он не используется в реальных атаках, но в Microsoft считают, что вероятность эксплуатации высока. Для просмотра ссылки Войди или Зарегистрируйся прямо заявила, что при успешной атаке уязвимость способна привести к полному компрометированию домена и в облаке, и на локальной площадке.
Уже на следующий день CISA Для просмотра ссылки Войдиили Зарегистрируйся , обязывающую федеральные агентства устранить проблему до 11 августа. Срочность связана не только с самим багом, но и с печальной историей предыдущих взломов Exchange. За последние годы Для просмотра ссылки Войди или Зарегистрируйся неоднократно становилась целью государственных хакеров: шпионские группы из России и Китая, включая китайскую Salt Typhoon, использовали уязвимости для доступа к внутренней переписке и документам. В 2023-м в результате одной из атак, приписанной Storm-0558, злоумышленники получили около 60 тысяч писем Госдепартамента США. Тогда расследование Совета по обзору кибербезопасности установило, что инцидент стал возможен из-за «цепочки предотвратимых ошибок» в инфраструктуре Microsoft.
CVE-2025-53786 относится к классу уязвимостей повышения привилегий и был обнаружен сотрудником Outsider Security Дирком-Яном Моллема. Проблема коренится в том, как гибридные конфигурации Exchange, объединяющие локальный сервер с Exchange Online, используют общий идентификатор для аутентификации между средами. Этот механизм, обеспечивающий единый вход, при определённых настройках даёт возможность злоумышленнику перенести свой административный контроль с локальной инсталляции в облако.
В апреле Microsoft уже вносила изменения в архитектуру гибридных установок, заявляя об усилении защиты как в локальной, так и в облачной части. Однако последующий анализ показал, что опубликованные тогда инструкции и шаги конфигурации имели дополнительные, не учтённые тогда последствия для безопасности. В результате апрельское уведомление фактически содержит меры, которые устраняют CVE-2025-53786, если следовать им в полном объёме.
Критически важно, что для эксплуатации этой уязвимости атакующему сначала нужно обладать административными правами на локальном сервере Exchange. Если же этот барьер пройден, он получает возможность поднять свои права в подключённой облачной среде без заметных для журналов и мониторинга действий, что значительно усложняет обнаружение инцидента.
Для защиты Microsoft рекомендует администраторам гибридных установок установить апрельский хотфикс или более свежую версию Exchange на локальных серверах, строго выполнить конфигурационные шаги из специального руководства по гибридному приложению Exchange, а затем обязательно сбросить атрибут keyCredentials у сервисного принципала, чтобы закрыть лазейку.
Всё происходит на фоне ещё одного громкого сбоя в безопасности Microsoft — недавней Для просмотра ссылки Войдиили Зарегистрируйся , которую уже успели использовать китайские шпионы, похитители данных и вымогательские группировки. Появление CVE-2025-53786 только усиливает давление на компанию, которой всё чаще приходится латать критические дыры в своих корпоративных продуктах до того, как их обнаружат и эксплуатируют противники.
Microsoft вместе с федеральными ведомствами Для просмотра ссылки Войди
Уже на следующий день CISA Для просмотра ссылки Войди
CVE-2025-53786 относится к классу уязвимостей повышения привилегий и был обнаружен сотрудником Outsider Security Дирком-Яном Моллема. Проблема коренится в том, как гибридные конфигурации Exchange, объединяющие локальный сервер с Exchange Online, используют общий идентификатор для аутентификации между средами. Этот механизм, обеспечивающий единый вход, при определённых настройках даёт возможность злоумышленнику перенести свой административный контроль с локальной инсталляции в облако.
В апреле Microsoft уже вносила изменения в архитектуру гибридных установок, заявляя об усилении защиты как в локальной, так и в облачной части. Однако последующий анализ показал, что опубликованные тогда инструкции и шаги конфигурации имели дополнительные, не учтённые тогда последствия для безопасности. В результате апрельское уведомление фактически содержит меры, которые устраняют CVE-2025-53786, если следовать им в полном объёме.
Критически важно, что для эксплуатации этой уязвимости атакующему сначала нужно обладать административными правами на локальном сервере Exchange. Если же этот барьер пройден, он получает возможность поднять свои права в подключённой облачной среде без заметных для журналов и мониторинга действий, что значительно усложняет обнаружение инцидента.
Для защиты Microsoft рекомендует администраторам гибридных установок установить апрельский хотфикс или более свежую версию Exchange на локальных серверах, строго выполнить конфигурационные шаги из специального руководства по гибридному приложению Exchange, а затем обязательно сбросить атрибут keyCredentials у сервисного принципала, чтобы закрыть лазейку.
Всё происходит на фоне ещё одного громкого сбоя в безопасности Microsoft — недавней Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
