„Microsoft“ perspėjo klientus sušvelninti didelio sunkumo pažeidžiamumą mainų serverių hibridiniuose diegimuose, kurie galėtų leisti užpuolikams padidinti savo privilegijas mainų internetinėje debesies aplinkoje, nepaliekant jokių pėdsakų.
„Exchange Hybrid Configurations“ jungia vietinius „Exchange“ serverius į „Exchange Online“ („Microsoft 365“ dalis), leidžiančios sklandžiai integruoti el. Pašto ir kalendoriaus funkcijas tarp vietoje esančių ir debesų pašto dėžučių, įskaitant bendrus kalendorius, pasaulinius adresų sąrašus ir pašto srautus.
Tačiau hibridinių mainų diegime „On-Prem Exchange Server“ ir „Exchange Online“ taip pat turi tą patį paslaugų principą, kuris yra bendra tapatybė, naudojama autentifikavimui tarp dviejų aplinkų.
Piktnaudžiavę šiuo bendrą tapatybę, užpuolikai, kontroliuojantys „On-Prem Exchange“, gali suklastoti ar manipuliuoti patikimais žetonais ar API skambučiais, kuriuos debesies pusė priims kaip teisėtą, nes netiesiogiai pasitiki vietoje esančiu serveriu.
Be to, veiksmai, kilę iš mainų iš „Exchange“, ne visada generuoja žurnalus, susijusius su kenksmingu elgesiu „Microsoft 365“; Todėl tradicinis debesų auditas (pvz., „Microsoft Purview“ ar „M365“ audito žurnalai) negali užfiksuoti saugumo pažeidimų, jei jie atsirastų iš vietinių.
„Mainų hibridiniame dislokavime užpuolikas, kuris pirmiausia įgyja administracinę prieigą prie vietinio biržos serverio, galėtų padidinti privilegijas organizacijos prijungtoje debesų aplinkoje, nepalikdama lengvai aptinkamo ir tikrinamojo pėdsakų“,-trečiadienį „Microsoft“-„CVE-20125-53786“.
Pažeidžiamumas daro įtaką „Exchange Server 2016“ ir „Exchange Server 2019“, taip pat „Microsoft Exchange Server“ prenumeratos leidimui-naujausia versija, kuri tradicinį nuolatinio licencijos modelį pakeičia prenumeratos pagrindu.
Nors „Microsoft“ dar turi pastebėti, kad visame pasaulyje išnaudojimas, bendrovė ją pažymėjo kaip „išnaudojimą labiau tikėtinu“, nes jos analizė atskleidė, kad išnaudojimo kodas gali būti sukurtas siekiant nuosekliai išnaudoti šį pažeidžiamumą, padidindama jo patrauklumą užpuolikams.
„Bendras domeno kompromisas“
CISA išleido atskirą patariamąjį sprendimą šioje problemoje ir patarė tinklo gynėjams, norintiems užsitikrinti savo mainų hibridinius diegimus nuo galimų atakų, skirtų CVE-2025-53786 trūkumui:
CISA perspėjo, kad nesugebėjimas sušvelninti šio pažeidžiamumo gali sukelti „hibridinį debesį ir vietinius bendrą domeno kompromisą“ ir paragino administracijas atjungti viešai nukreiptus serverius (EOL) arba „Exchange Server“ ar „SharePoint Server“ versijas.
Sausio mėn. „Microsoft“ taip pat priminė „Admin“, kad „Exchange 2016“ ir „Exchange 2019“ spalio mėn. Pasieks išplėstinės palaikymo pabaigą, ir bendros gairės tiems, kuriems reikia nutraukti pasenusių serverių, patardamas jiems migruoti internetu arba atnaujinti į „Exchange Server“ prenumeratos leidimą (SE).
Pastaraisiais metais finansiškai motyvuoti ir valstybės remiami įsilaužėliai išnaudojo daugybę „Exchange Security“ pažeidžiamumų, įskaitant „Proxylogon“ ir „Proxyshell Zero-Days“, kad pažeistų serverius.
Pavyzdžiui, mažiausiai dešimt įsilaužimo grupių 2021 m. Kovo mėn. Išnaudojo „Proxylogon“, įskaitant kinų remiamą grėsmės grupę, stebėtą kaip Hafnium ar Silk Typhoon.
Prieš dvejus metus, 2023 m. Sausio mėn., „Microsoft“ taip pat paragino klientus pritaikyti naujausią palaikomą kaupiamąjį atnaujinimą (CU) ir nuolat atnaujinti savo vietinius mainų serverius, kad jie visada būtų pasirengę diegti skubios saugos atnaujinimus.
Kenkėjiškos programos, nukreiptos į slaptažodžių parduotuves, išaugo 3x, nes užpuolikai įvykdė slaptus tobulus „Heist“ scenarijus, įsiskverbė ir išnaudojo kritines sistemas.
Atraskite 10 geriausių „Miter ATT & CK“ technikų, esančių už 93% išpuolių ir kaip gintis nuo jų.
