آسیب‌پذیری بحرانی Microsoft Exchange Server؛ مهاجم می‌تواند سطح دسترسی خود را افزایش دهد!

به نظر می‌رسد که مایکروسافت به هدفی جذاب برای هکرها و مهاجمان سایبری تبدیل شده است! حدود چند روز پیش بود که خبر حمله سایبری به سرورهای مایکروسافت شیرپوینت را در وبلاگ فالنیک پوشش دادیم؛ اکنون به فاصله کمتر از 3 هفته، خبر کشف آسیب‌پذیری بحرانی Microsoft Exchange Server، یکی دیگر از سرویس‌های مایکروسافت منتشر شده است.

بر همین اساس مایکروسافت به تازگی اعلام کرده: «در محیط استقرار هیبریدی Exchange (یا Exchange Hybrid Deployment)، مهاجمی که ابتدا دسترسی مدیریتی به سرور داخلی (on-premises) اکسچنج به‌دست آورده بود، اکنون می‌تواند به‌طور بالقوه امتیازات و سطح دسترسی خود را در محیط ابری متصل به سازمان افزایش دهد، بدون اینکه ردی قابل شناسایی و قابل پیگیری از خود به جا بگذارد».

این افزایش سطح دسترسی با بهره‌برداری از آسیب‌پذیری CVE-2025-53786 که به تازگی افشاشده، امکان‌پذیر شده است. این آسیب‌پذیری ناشی از استفاده مشترک Exchange Server و Exchange Online از یک سرویس اصلی یکسان (یعنی برنامه Office 365 Exchange Online) در پیکربندی‌های هیبریدی بوده است. برنامه ذکر شده برای احراز هویت و ایمن‌سازی بین Exchange Server و Exchange Online مورد استفاده قرار می‌گیرد.

درباره آسیب‌پذیری CVE-2025-53786 چه می‌دانیم؟

پیکربندی هیبریدی مایکروسافت اکسچنج سرور شامل اتصال یک محیط داخلی Exchange Server با سرویس Exchange Online (نسخه ابری که در اکثر اشتراک‌های مایکروسافت 365 ارائه می‌شود) می‌شود.

اکنون مایکروسافت خطر ناشی از استفاده مشترک Exchange Server و Exchange Online از یک سرویس اصلی مشترک را فاش کرده است: مهاجمان می‌توانند از این قابلیت برای دسترسی مخفیانه به محیط ابری متصل به سازمان استفاده کنند.

مایکروسافت خاطرنشان کرده است: «بهره‌برداری موفق از آسیب‌پذیری CVE-205-53786 نیازمند دسترسی اولیه مهاجم به سطح مدیریت در سرور Exchange است»، اما این مانع برای مهاجمان سمج و متخصص، مانعی دست‌وپاگیر نخواهد بود و این مهاجمان توانایی عبور از آن را دارند!

به همین دلیل مایکروسافت توصیه‌های اضطراری زیر را به سازمان‌ها ارائه داده است:

• به‌روزرسانی اصلاحی (یا نسخه جدیدتر) را روی سرورهای داخلی Exchange خود نصب کنند.
• اپلیکیشن اختصاصی هیبریدی Exchange را سریع‌تر مستقر کنند (آموزش استقرار اپلیکیشن اختصاصی هیبریدی Exchange)
• keyCredentials سرویس اصلی مشترک را بازنشانی کنند (یعنی گواهی‌ها را پاک کنند).

مایکروسافت افزود: «اگر قبلاً پیکربندی هیبریدی Exchange یا احراز هویت OAuth بین Exchange Server و Exchange Online را در سازمان خود تنظیم کرده‌اید اما دیگر از آن استفاده نمی‌کنید، مطمئن شوید که keyCredentials سرویس اصلی را بازنشانی کرده‌اید».

اظهارنظر CISA درباره آسیب‌پذیری بحرانی مایکروسافت Exchange Server

براساس اطلاعیه امنیتی، آسیب‌پذیری CVE-2025-53786 هنوز مورد بهره‌برداری قرار نگرفته است (البته اگر مورد بهره‌برداری قرار گرفته باشد، آیا سازمان‌ها می‌توانند آن را تشخیص دهند؟! چرا که عنوان شده افزایش امتیازات توسط این آسیب‌پذیری می‌تواند «بدون ردی قابل شناسایی و قابل پیگیری» انجام شود!).

به‌هرحال، حالا که این اطلاعات به‌صورت عمومی منتشر شده، ممکن است برخی مهاجمان بخواهند از این ضعف سوءاستفاده کنند.

آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA) به سازمان‌ها توصیه کرده تا دستورالعمل‌های مایکروسافت را دنبال کنند و با اجرای Microsoft Exchange Health Checker بررسی کنند که آیا اقدامات بیشتری لازم است یا خیر.

CISA همچنین افزود: «ما به شدت توصیه می‌کنیم که نسخه‌های عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا زمان پایان خدمات خود رسیده‌اند، از اینترنت قطع شوند. به‌عنوان مثال، SharePoint Server 2013 و نسخه‌های قبلی آن به پایان عمر خود رسیده‌اند و استفاده از آنها باید متوقف شود».

لازم به ذکر است که پایان پشتیبانی گسترده برای Exchange 2016 و Exchange 2019 برای 14 اکتبر 2025 برنامه‌ریزی شده است.

اوایل سال جاری میلادی، مایکروسافت اعلام کرده بود که اگر سازمان‌ها می‌خواهند از خدمات Exchange Online برای ارسال ایمیل استفاده کنند، بهتر است سرورهای داخلی Exchange خود را ارتقا دهند و وصله‌های ارائه‌شده برای آن را به‌طور منظم نصب کنند. هدف این شرکت برای این توصیه، افزایش امنیت اکوسیستم Exchange در برابر افزایش قابل توجه حملات به سرورهای Exchange در سال‌های اخیر عنوان شده است.

به‌روزرسانی خبر آسیب‌پذیری بحرانی Microsoft Exchange Server

به‌تازگی CISA یک دستورالعمل اضطراری صادر کرده است و از تمامی آژانس‌های فدرال غیرنظامی اجرایی (FCEB) که دارای محیط‌های هیبریدی Microsoft Exchange هستند، خواسته تا اقدامات مربوط به آسیب‌پذیری CVE-2025-53786 را فوراً و تا روز دوشنبه، 11 آگوست 2025، ساعت 9 صبح به وقت محلی انجام دهند.

دکتر مادهو گوتوموکالا، سرپرست اجرایی CISA، اظهار داشته است: «اگرچه این دستور برای آژانس‌های فدرال الزامی است، اما ما به شدت از تمامی سازمان‌ها می‌خواهیم اقدامات مربوط به این دستورالعمل اضطراری را اجرا کنند».

این آسیب‌پذیری توسط درک-یان مولما، از اعضای Outsider Security کشف و به مایکروسافت گزارش شده است. نحوه بهره‌برداری از این آسیب‌پذیری نیز توسط آقای مولما در کنفرانس Black Hat نمایش داده شده است.