Критична вразливість у гібридних Exchange-середовищах загрожує повною компрометацією домену

07.08.2025 1 хвилин Автор: Newsman

Microsoft попередила про серйозну вразливість у гібридних розгортаннях Exchange Server, що дозволяє атакуючим підвищити привілеї в Exchange Online без слідів у журналах аудиту.

У серпні 2025 року Microsoft офіційно визнала наявність високоризикової вразливості (CVE-2025-53786) в гібридних конфігураціях Exchange Server. Уразливість дозволяє атакуючим, які вже отримали адміністраторський доступ до локального Exchange, підвищити свої привілеї у хмарному середовищі Microsoft 365 — без створення видимих слідів у журналах подій чи аудиту.

  1. Це стало можливим через спільний *service principal* — ідентифікатор автентифікації, що використовується для довіри між локальним Exchange та Exchange Online. Саме ця довіра дозволяє зловмисникам підробляти або змінювати токени автентифікації, які Microsoft 365 сприймає як легітимні.

  2. Microsoft класифікує цю уразливість як “Exploitation More Likely”, тобто експлуатація можлива у найближчому майбутньому. Офіційний патч було випущено ще у квітні 2025 року, проте лише тепер компанія підтвердила критичні наслідки уразливості та закликала адміністраторів негайно оновити сервери.

Уразливість охоплює всі активні версії Exchange Server, включно з 2016, 2019 та новою Exchange Server Subscription Edition. Незважаючи на відсутність активної експлуатації в дикій природі, Microsoft і CISA рекомендують негайно вжити заходів. CISA наголошує, що проігнорована вразливість може призвести до повної компрометації домену в гібридному середовищі.

Щоб убезпечити середовище, Microsoft рекомендує:

  • Встановити квітневий (або пізніший) Hotfix Update.

  • Увімкнути Exchange Hybrid App і очистити облікові дані service principal.

  • Запустити Exchange Health Checker для перевірки статусу захисту.

  • Вимкнути публічний доступ до застарілих серверів Exchange або SharePoint.

Гібридні розгортання Exchange, що не оновлені згідно з інструкціями Microsoft, становлять серйозну загрозу для безпеки організацій. Спільний service principal між локальними й хмарними сервісами стає слабкою ланкою, якою легко скористається зловмисник. Захист вимагає не лише встановлення патчів, а й грамотної переоцінки архітектури гібридного середовища, включаючи оновлення конфігурацій та видалення застарілих ключів доступу. Зволікання може коштувати цілісності вашої інфраструктури.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.