MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Microsoft

مايكروسوفت تكشف عن ثغرة في Exchange Server تتيح الوصول الصامت إلى السحابة في الإعدادات الهجينة

كشفت مايكروسوفت عن ثغرة خطيرة في Exchange Server تسمح للمهاجمين بتصعيد الامتيازات والوصول الصامت إلى بيئة السحابة الهجينة دون ترك آثار.


مايكروسوفت تكشف عن ثغرة في Exchange Server تتيح الوصول الصامت إلى السحابة في الإعدادات الهجينة

مايسترو نيرو - قسم اكتشاف التهديدات


أصدرت مايكروسوفت تنبيهاً بشأن ثغرة أمنية خطيرة تؤثر على إصدارات Exchange Server المحلية التي قد تسمح للمهاجم بالحصول على امتيازات مرتفعة في ظل ظروف معينة.

الثغرة، المُسجلة برمز CVE-2025-53786، تحمل درجة CVSS تبلغ 8.0. تم الاعتراف ب Dirk-jan Mollema من Outsider Security بالإبلاغ عن هذا الخلل.

"في نشر هجين لـ Exchange، يمكن للمهاجم الذي يحصل أولاً على وصول إداري إلى خادم Exchange المحلي أن يصعد الامتيازات ضمن بيئة السحابة المتصلة بالمنظمة دون ترك آثار قابلة للكشف والتدقيق بسهولة"، كما ذكرت الشركة العملاقة في التنبيه.

"يظهر هذا الخطر لأن خادم Exchange و Exchange Online يشتركان في نفس المبدئية الخدمية في التكوينات الهجينة."

تفاصيل الاستغلال:

يمكن أن يؤدي الاستغلال الناجح للثغرة إلى تمكين المهاجم من تصعيد الامتيازات ضمن بيئة السحابة المتصلة بالمنظمة دون ترك آثار قابلة للكشف والتدقيق بسهولة، وأضافت الشركة. ومع ذلك، يعتمد الهجوم على حصول الفاعل الخبيث على وصول إداري مسبق إلى خادم Exchange.

وكالة الأمن والبنية التحتية الأمريكية (CISA)، في نشرة خاصة بها، قالت إن الثغرة قد تؤثر على سلامة هوية خدمة Exchange Online للمنظمة إذا لم تتم معالجتها.

كحلول وقائية، يُوصى العملاء بمراجعة تغييرات أمان Exchange Server للنشرات الهجينة، وتثبيت إصلاح أبريل 2025 (أو أحدث)، واتباع تعليمات التكوين.

"إذا كنت قد قمت مسبقاً بتكوين نشر هجين لـ Exchange أو مصادقة OAuth بين Exchange Server ومنظمة Exchange Online الخاصة بك ولكنك لم تعد تستخدمها، تأكد من إعادة تعيين مفاتيح بيانات المبدئية الخدمية."

تحليل الخبير:

في عرض تقديمي في مؤتمر Black Hat USA 2025 للأمن، قال Mollema إن إصدارات Exchange Server المحلية تحتوي على شهادة بيانات يمكن استخدامها للمصادقة على Exchange Online والسماح بـ OAuth في السيناريوهات الهجينة.

يمكن استغلال هذه الشهادات لطلب رموز S2S من خدمة التحكم في الوصول (ACS) من Microsoft، مما يوفر وصولاً غير محدود إلى Exchange Online وSharePoint دون أي فحوصات وصول مشروط أو أمان.

والأهم من ذلك، يمكن استخدام هذه الرموز لتقمص دور أي مستخدم هجين داخل المستأجر لمدة 24 ساعة عندما يتم تعيين خاصية "trustedfordelegation"، ولا تترك سجلات عند إصدارها. كحلول وقائية، تخطط مايكروسوفت لفرض فصل إجباري بين المبدئيات الخدمية لـ Exchange المحلي و Exchange Online بحلول أكتوبر 2025.

إجراءات إضافية:

يأتي هذا التطور بينما أعلنت شركة Windows أنها ستبدأ بحظر مؤقت لحركة Exchange Web Services (EWS) باستخدام المبدئية الخدمية المشتركة لـ Exchange Online بدءاً من هذا الشهر في محاولة لزيادة اعتماد العملاء على تطبيق Exchange الهجين المخصص وتحسين وضع الأمن للبيئة الهجينة.

تحليل CISA:

يتوافق تنبيه مايكروسوفت لـ CVE-2025-53786 مع تحليل CISA للعديد من القطع الخبيثة المنشورة بعد استغلال الثغرات المكشوفة حديثاً في SharePoint، والمجمعة تحت اسم ToolShell.

وهذا يشمل ملفين ثنائيين DLL مشفرين بـ Base64 وأربعة ملفات ASPX مصممة لاسترجاع إعدادات المفاتيح الآلية ضمن تكوين تطبيق ASP.NET والعمل كقذيفة ويب لتنفيذ الأوامر وتحميل الملفات.

"يمكن لفاعلي التهديدات السيبرانية استغلال هذا البرمجية الخبيثة لسرقة المفاتيح التشفيرية وتنفيذ أمر PowerShell مشفر بـ Base64 لفحص النظام المضيف وتسريب البيانات"، كما ذكرت الوكالة.

كما تحث CISA الكيانات على فصل إصدارات Exchange Server أو SharePoint Server المواجهة للجمهور والتي وصلت إلى نهاية الحياة أو نهاية الخدمة عن الإنترنت، وليس فقط التوقف عن استخدام الإصدارات القديمة.

آخر تحديث: 7 أكتوبر 2025