هشدار آژانس امنیت سایبری آمریکا درباره آسیب‌پذیری اکسچنج

به گزارش کارگروه امنیت خبرگزاری سایبربان، آژانس امنیت سایبری و امنیت زیرساخت‌ها (CISA) عصر چهارشنبه هشدار فوری درباره آسیب‌پذیری CVE-2025-53786 منتشر کرد؛ باگی که به هکرهایی که به سرورهای داخلی مایکروسافت اکسچنج دسترسی مدیریتی دارند، اجازه می‌دهد سطح دسترسی خود را افزایش داده و اقدامات مخرب بیشتری انجام دهند.

بر اساس اعلام آژانس، سازمان‌ها باید نسخه‌های عمومی سرور اکسچنج یا سرور شیرپوینت را که به پایان عمر پشتیبانی (EOL) یا پایان خدمات رسیده‌اند، از اینترنت جدا کنند.

آژانس امنیت سایبری و امنیت زیرساخت به عنوان نمونه به SharePoint Server 2013 و نسخه‌های قدیمی‌تر اشاره کرده و گفته است این فناوری‌ها در صورت استفاده باید کنار گذاشته شوند.

مایکروسافت اعلام کرد تا روز چهارشنبه نشانه‌ای از سوءاستفاده از این باگ مشاهده نشده است، اما آژانس هشدار داد که اگر این آسیب‌پذیری برطرف نشود، ممکن است بر یکپارچگی هویت سرویس Exchange Online سازمان‌ها تأثیر بگذارد.

کریس بوتره، معاون اجرایی موقت آژانس امنیت سایبری و امنیت زیرساخت بیان کرد:

امشب آژانس امنیت سایبری و امنیت زیرساخت درباره یک آسیب‌پذیری شدید که در حال پایش و کاهش خطر آن در سرورهای داخلی مایکروسافت اکسچنج هستیم، هشدار صادر کرد. این آسیب‌پذیری امروز افشا شد. همانند همه تهدیدات و آسیب‌پذیری‌های شدید، ما فوراً با مایکروسافت و شرکای دولتی و صنعتی خود همکاری را آغاز کردیم تا دامنه و تأثیر آن را ارزیابی کنیم. به همه سازمان‌ها اکیداً توصیه می‌کنیم دستورالعمل‌های مایکروسافت را برای کاهش خطر اجرا کنند.

مایکروسافت اکسچنج یکی از محصولات پرطرفدار این شرکت است که به سازمان‌ها امکان می‌دهد به کارمندان خود دسترسی به ایمیل، تقویم و بسترهای همکاری ارائه دهند.

یک سخنگوی مایکروسافت کشف و گزارش این آسیب‌پذیری را به دیرک-یان مولما از شرکت هلندی امنیت اوتسایدر (Outsider Security) نسبت داد.

مایکروسافت تأکید کرد که مهاجم برای تلاش در سوءاستفاده از این باگ، باید قبلاً به یک نقش با دسترسی بسیار بالا در یک سرور داخلی دست یافته باشد.

آژانس امنیت سایبری و امنیت زیرساخت همچنین یک دستور اضطراری صادر کرده و از همه سازمان‌های فدرال غیرنظامی خواسته است که محیط مایکروسافت اکسچنج خود را بررسی کنند، به‌روزرسانی‌های لازم را نصب کنند و همه سرورهای منقضی را تا روز دوشنبه از شبکه جدا کنند.

این آژانس اعلام کرد گزارشی از این رویداد را تا اول دسامبر به کاخ سفید و وزارت امنیت داخلی ارائه خواهد کرد.

هشدار آژانس امنیت سایبری و امنیت زیرساخت به یک پست وبلاگی مایکروسافت پیوند می‌دهد که تغییرات اخیر در نحوه پیاده‌سازی سرورهای اکسچنج در سازمان‌ها را توضیح می‌دهد.

در بخش عمیقی از این سند، اشاره کوتاهی به CVE-2025-53786 و پیوندی به صفحه حاوی اطلاعات بیشتر درباره این آسیب‌پذیری وجود دارد.

مایکروسافت توضیح داد که در ۱۸ آوریل تغییراتی در نحوه تعامل مشتریان با سرورهای اکسچنج اعلام کرده است که به طور کلی با هدف بهبود امنیت استقرارهای هیبرید اکسچنج بوده است.

این شرکت فناوری اظهار کرد:

پس از بررسی‌های بیشتر، مایکروسافت پیامدهای امنیتی خاصی را مرتبط با دستورالعمل‌ها و گام‌های پیکربندی اعلام‌شده در اطلاعیه ۱۸ آوریل شناسایی کرد. مایکروسافت شناسه CVE-2025-53786 را برای مستندسازی یک آسیب‌پذیری صادر می‌کند که با انجام مراحل اعلام‌شده در اطلاعیه ۱۸ آوریل برطرف می‌شود. مایکروسافت اکیداً توصیه می‌کند اطلاعات را مطالعه کنید، به‌روزرسانی فوری آوریل ۲۰۲۵ (یا جدیدتر) را نصب کنید و تغییرات را در سرور اکسچنج و محیط هیبرید خود اعمال کنید.

سخنگوی مایکروسافت افزود که اقدام آوریل برای تغییر نحوه تعامل مشتریان با سرورهای اکسچنج بخشی از طرح ابتکار آینده امن (Secure Future Initiative) بوده است؛ تلاشی که پس از یک نفوذ مشهور به ایمیل‌های مرتبط با مایکروسافت اکسچنج و شامل وزیر بازرگانی آمریکا و نماینده کنگره «دان بیکن» آغاز شد.

آژانس امنیت سایبری و امنیت زیرساخت هشدار داد که سازمان‌ها باید دستورالعمل مایکروسافت را اجرا کنند، در غیر این صورت خطر آسیب‌پذیری کامل دامنه، چه در فضای ابری هیبرید و چه در محل، سازمان را تهدید خواهد کرد.

مایکروسافت اکسچنج در گذشته نیز بارها هدف حملات عوامل وابسته به دولت‌ها و مجرمان سایبری قرار گرفته است، چرا که دسترسی آسان به حجم عظیمی از ایمیل‌ها، تقویم‌ها و سایر داده‌ها را فراهم می‌کند.

در سال ۲۰۲۱، یک کارزار حمله از سوی عوامل وابسته به چین علیه سرورهای مایکروسافت اکسچنج باعث شد صدها سازمان تحت تأثیر قرار گیرند.