🔍 Bevezetés
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) sürgősségi direktívát adott ki (ED 25-02) egy súlyos biztonsági rés miatt, amely a Microsoft Exchange szervereket érinti hibrid környezetben. A CVE-2025-53786 azonosítójú sebezhetőség lehetővé teszi a támadók számára, hogy jogosultságot emeljenek az on-prem Exchange szerverről a felhőalapú Microsoft 365 környezetbe – mindezt észrevétlenül.
🧠 Háttér és technikai részletek
A hibát Dirk-jan Mollema biztonsági kutató jelentette, amely azokat a konfigurációkat érinti, ahol az on-premises Exchange szerver össze van kapcsolva az Exchange Online rendszerrel (Microsoft 365). A biztonsági rés kihasználásával a támadó manipulálhatja a hitelesítési tokeneket, és API-hívásokat hajthat végre, amelyeket a felhő legitimként fogad el – naplózási nyom nélkül.
Érintett rendszerek:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition
A Microsoft szerint jelenleg nem ismert aktív kihasználás, azonban a besorolás alapján „valószínűsíthetően kihasználható”.
🕵️ Kapcsolódó fenyegetések
A CISA párhuzamosan figyelmeztet a ToolShell malware által végrehajtott támadásokra is, amelyek SharePoint sebezhetőségeket céloznak. Ezek során DLL-eket és ASPX webshell fájlokat használnak adatlopásra és rendszergazdai parancsok végrehajtására.
