Microsoft предупредила о выявлении опасной уязвимости в серверах Exchange Server, работающих в гибридных конфигурациях. Брешь, получившая идентификатор CVE-2025-53786, позволяет злоумышленникам с административным доступом к локальному серверу Exchange значительно повысить свои привилегии, потенциально получая контроль над всей гибридной инфраструктурой организации - как облачной частью в Exchange Online, так и локальными системами. Уязвимость была официально раскрыта корпорацией 6 августа 2025 года и немедленно привлекла внимание глобальных кибербезопасностных агентств.
Детали уявзимости
Согласно техническому описанию Microsoft, уязвимость представляет собой "Уязвимость повышения привилегий в гибридном развертывании Microsoft Exchange Server". Она классифицирована как "Важная" (Important) с высоким рейтингом CVSS 8.0 из 10. Основная проблема заключается в механизме аутентификации (CWE-287: Improper Authentication) в гибридных средах, где локальные серверы Exchange интегрированы с облачным Exchange Online. Атакующий, уже обладающий правами администратора на локальном сервере Exchange, может воспользоваться уязвимостью для подрыва целостности аутентификации и получить несанкционированный доступ к облачной части развертывания с расширенными правами.
Детальный вектор CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C указывает на высокую сложность эксплуатации (требуется доступ к сети, высокие исходные привилегии), но также подчеркивает катастрофические последствия при успешной атаке: полное изменение области воздействия (Scope Change) и высочайший ущерб конфиденциальности, целостности и доступности данных и систем. Microsoft отмечает отсутствие зафиксированных случаев эксплуатации уязвимости на момент публикации бюллетеня, однако подчеркивает критическую важность немедленного устранения риска.
Агентство кибербезопасности и защиты инфраструктуры США (CISA) оперативно выпустило экстренное руководство в ответ на угрозу. В своем заявлении CISA подчеркнуло, что игнорирование данной уязвимости может привести к "тотальной компрометации как гибридного облака, так и локального домена организации". Агентство настоятельно рекомендует всем компаниям, использующим гибридные развертывания Exchange, незамедлительно принять меры по устранению угрозы.
Microsoft предоставила конкретные шаги по смягчению рисков. Первоочередная мера - установка апрельских накопительных обновлений (Hotfix Updates) 2025 года для локальных серверов Exchange Server. Компания также настоятельно советует организациям строго следовать инструкциям по конфигурации для развертывания выделенных гибридных приложений Exchange, что является ключевым аспектом защиты.
Особое внимание уделяется процедурам очистки. Организациям, использующим или ранее настраивавшим гибридные среды Exchange, необходимо изучить руководство по "Режиму очистки субъекта-службы" (Service Principal Clean-Up Mode) для сброса ключевых учетных данных службы (service principal keyCredentials). Дополнительно Microsoft рекомендует запустить средство Microsoft Exchange Health Checker, которое поможет определить, требуются ли дополнительные корректирующие действия для конкретной среды.
CISA дополнительно указало на необходимость минимизации поверхности атаки. Агентство рекомендует организациям отключить от интернета публично доступные экземпляры серверов Exchange или SharePoint Server, достигшие окончания срока поддержки, в особенности версии SharePoint Server 2013 и более ранние. Это общая мера безопасности, снижающая риски эксплуатации известных и неизвестных уязвимостей в устаревших системах.
Эксперты по безопасности единодушны в оценке серьезности CVE-2025-53786. Уязвимость представляет особую опасность именно из-за своей направленности на гибридные среды, популярность которых среди крупных и средних предприятий продолжает расти. Возможность перехода атаки с локальной инфраструктуры в облако Microsoft 365 создает беспрецедентный риск масштабных инцидентов. Системным администраторам и ИТ-безопасникам настоятельно рекомендуется в приоритетном порядке проверить свои гибридные конфигурации Exchange, установить все необходимые обновления и тщательно выполнить все рекомендованные Microsoft и CISA шаги по настройке и очистке для предотвращения потенциально разрушительных последствий.
Ссылки
- https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
- https://www.cve.org/CVERecord?id=CVE-2025-53786
