Более 28 000 серверов Microsoft Exchange остаются незащищенными от критической уязвимости CVE-2025-53786. Данные сканирования, предоставленные организацией The Shadowserver Foundation, показывают, что эти серверы доступны в публичном интернете, что делает их легкой мишенью для злоумышленников. Уязвимость, оцененная в 8.0 баллов по шкале CVSS, позволяет злоумышленникам с административным доступом к локальным серверам Exchange повышать привилегии в облачных средах Microsoft 365, не оставляя явных следов в журналах аудита.
География угрозы и природа уязвимости
Соединенные Штаты, Германия и Россия возглавляют список стран с наибольшим количеством уязвимых серверов. Проблема затрагивает гибридные развертывания Microsoft Exchange Server, где используется общий сервисный принципал (service principal) для аутентификации между локальными серверами и облачной платформой Exchange Online. Именно эта архитектурная особенность создает риск эскалации привилегий: взломав локальную систему, злоумышленник может расширить контроль на облачную инфраструктуру.
Уязвимость была официально задокументирована Microsoft 6 августа 2025 года после демонстрации методов эксплуатации на конференции Black Hat исследователем Дирком-Яном Моллема из Outsider Security. В своем докладе он показал, как можно злоупотребить токенами доступа, которые остаются действительными в течение 24 часов и не могут быть отозваны администраторами.
Экстренные меры правительства США
Угроза настолько серьезна, что Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) уже выпустило Экстренную директиву 25-02, предписывающую федеральным агентствам устранить уязвимость до 11 августа 2025 года. И. о. директора CISA Мадху Готтумуккала назвал ситуацию «неприемлемым риском для государственных систем, от которых зависят американцы».
Microsoft и CISA подчеркивают, что организации, не применившие рекомендации по безопасности от апреля 2025 года, остаются в особой опасности. Компания уже начала переход от общей модели аутентификации к изолированным гибридным приложениям Exchange, а после 31 октября 2025 года полностью отключит поддержку устаревшего протокола Exchange Web Services в пользу более защищенного Graph API.
Рекомендации по защите
Эксперты рекомендуют немедленно установить обновления Microsoft за апрель 2025 года, а также заменить общие сервисные принципалы на выделенные гибридные приложения. Дополнительные меры включают очистку устаревших учетных данных и настройку политик условного доступа для усиления контроля аутентификации.
Поскольку украденные токены нельзя отозвать, задержки в обновлениях могут привести к катастрофическим последствиям. Учитывая масштаб угрозы, администраторам по всему миру следует действовать без промедления.
