Почти седмица след като Microsoft публикува информация за откриването и отстраняването на опасен бъг с висок риск в хибридните внедрявания на Exchange, експерти предупредиха, че хиляди крайни точки остават уязвими.
Фондация Shadowserver, организация с нестопанска цел, посветена на овластяването на общността за киберсигурност, твърди, че 29 000 Exchange сървъра остават „незакърпени” и изложени на риск онлайн, което по същество приканва злонамерени лица да проникнат в корпоративните системи и да причинят проблеми.
Нещата биха могли да бъдат още по-лоши, тъй като активността от локалния Exchange не винаги генерира регистрационни файлове, свързани със злонамерено поведение в Microsoft 365, което може да доведе до това, че кибератаките да не бъдат забелязани чрез облачен одит.
Microsoft призова клиентите да бъдат нащрек за „грешка в неправилното удостоверяване”, която може да позволи на злонамерени лица с администраторски достъп до локален Exchange Server да ескалират привилегии в свързаната среда на Exchange Online, поради недостатъци в доверието в конфигурациите на споделените главни услуги.
От засегнатите сървъри 7200 се намират в Съединените щати, 6700 са в Германия и около 2500 са в Русия, съобщиха от организацията за киберсигурност.
Хибридното внедряване на Microsoft Exchange комбинира локални Exchange сървъри с Exchange Online в Microsoft 365, което им позволява да работят заедно като една система. Така организациите могат да поддържат безпроблемно споделяне на имейл, календар и контакти в двете среди.
„При хибридно внедряване на Exchange, хакер, който първо получи административен достъп до локален Exchange сървър, може потенциално да ескалира привилегиите в свързаната облачна среда на организацията, без да оставя лесно откриваеми и одитираеми следи”, заявиха от Microsoft.
Засегнати са както Exchange Server 2016, така и Exchange Server 2019, както и Microsoft Exchange Server Subscription Edition.
Въпреки че все още няма доказателства за злоупотреба, Microsoft призова своите клиенти да приложат актуалните корекции от април 2025 г., да преминат към специалното приложение Exchange Hybrid и да нулират идентификационните данни на споделения доставчик на услуги, за да смекчат риска.
