超过29,000台暴露在互联网上的Exchange服务器仍未修复一个高危漏洞(CVE-2025-53786),该漏洞可使攻击者在微软云环境中横向移动,可能导致整个域沦陷。已获取本地Exchange服务器管理员权限的攻击者可利用此漏洞在组织关联的云环境中提升权限,通过伪造或操纵可信令牌或API调用实现权限升级,且不留易于检测的痕迹,使攻击行为难以追踪。
CVE-2025-53786影响采用混合部署的Exchange Server 2016、Exchange Server 2019及采用订阅制替代永久许可模式的Microsoft Exchange Server订阅版。该漏洞在微软2025年4月作为“安全未来倡议”的一部分发布修复指南和热更新时被披露,该倡议支持使用专用混合应用替代本地Exchange Server与Exchange Online此前使用的不安全共享身份验证架构。
尽管微软尚未发现该漏洞在攻击中被利用的证据,但仍将其标记为“极有可能被利用”,因其认为攻击者可能开发出可稳定利用的漏洞代码,从而增加其吸引力。安全威胁监控平台Shadowserver的扫描数据显示,超过29,000台Exchange服务器仍未修复此漏洞。截至8月10日检测到的29,098台未修复服务器中,美国占7,200余台,德国超6,700台,俄罗斯逾2,500台。
漏洞披露次日,美国网络安全和基础设施安全局(CISA)发布第25-02号紧急指令,要求所有联邦文职行政部门机构(含国土安全部、财政部及能源部)于东部时间周一9点前缓解此高危漏洞。联邦机构需先通过微软健康检查脚本清点Exchange环境,并将不再受2025年4月热更新支持的公开服务器(如已终止支持或服务的Exchange版本)与互联网断开。其余服务器须升级至最新累积更新(Exchange 2019需CU14/CU15,Exchange 2016需CU23)并安装微软4月热补丁。
CISA在单独公告中警告,未能修复该漏洞可能导致“混合云与本地环境完全域沦陷”。尽管非政府组织未被强制要求执行紧急指令,但CISA强烈建议所有机构采取相同措施防护系统。代理局长马杜·戈图穆卡拉强调:“此漏洞风险波及所有使用该环境的组织与部门,联邦机构虽被强制要求,但我们强烈敦促各方实施紧急指令中的行动。”
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容