Redazione RHC : 13 Agosto 2025 08:51
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione completa del dominio.
Il CVE-2025-53786 consente agli aggressori che hanno già ottenuto l’accesso amministrativo ai server Exchange locali di aumentare i privilegi nell’ambiente cloud connesso di un’organizzazione falsificando o manipolando token attendibili e richieste API. Questo attacco non lascia praticamente alcuna traccia, rendendolo difficile da rilevare.
La vulnerabilità riguarda Exchange Server 2016, Exchange Server 2019 e Microsoft Exchange Server Subscription Edition nelle configurazioni ibride.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
La vulnerabilità è correlata alle modifiche apportate nell’aprile 2025, quando Microsoft ha rilasciato linee guida e un hotfix per Exchange nell’ambito della Secure Future Initiative. In quell’occasione, l’azienda è passata a una nuova architettura con un’applicazione ibrida separata che ha sostituito l’identità condivisa non sicura utilizzata in precedenza dai server Exchange locali ed Exchange Online.
In seguito, i ricercatori hanno scoperto che questo schema lasciava aperta la possibilità di attacchi pericolosi. Alla conferenza Black Hat , Outsider Security dimostrò un simile attacco post-exploit.
“Inizialmente non l’ho considerata una vulnerabilità perché il protocollo utilizzato per questi attacchi era stato progettato tenendo conto delle caratteristiche discusse nel rapporto e mancava semplicemente di importanti controlli di sicurezza”, afferma Dirk-Jan Mollema di Outsider Security.
Sebbene gli esperti Microsoft non abbiano trovato alcun segno di sfruttamento del problema in attacchi reali, la vulnerabilità è stata contrassegnata come “Sfruttamento più probabile“, il che significa che l’azienda prevede che gli exploit appariranno presto.
Come avvertono gli analisti di Shadowserver , ci sono 29.098 server Exchange sulla rete che non hanno ricevuto le patch. Di conseguenza, sono stati trovati più di 7.200 indirizzi IP negli Stati Uniti, oltre 6.700 in Germania e più di 2.500 in Russia.
Il giorno dopo la divulgazione del problema, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso una direttiva di emergenza ordinando a tutte le agenzie federali (inclusi i dipartimenti del Tesoro e dell’Energia) di affrontare urgentemente la minaccia.
In un bollettino di sicurezza separato , i rappresentanti della CISA hanno sottolineato che la mancata correzione di CVE-2025-53786 potrebbe portare alla “completa compromissione di un cloud ibrido e di un dominio on-premise”.
Come spiegato da Mollema, gli utenti di Microsoft Exchange che hanno già installato l’hotfix menzionato e seguito le raccomandazioni di aprile dell’azienda dovrebbero essere protetti dal nuovo problema. Tuttavia, coloro che non hanno ancora implementato le misure di protezione sono ancora a rischio e dovrebbero installare l’hotfix e seguire anche le istruzioni di Microsoft ( 1 , 2 ) sull’implementazione di un’app ibrida di Exchange separata.
“In questo caso, non è sufficiente applicare semplicemente una patch; sono necessari ulteriori passaggi manuali per migrare a un servizio principale dedicato”, ha spiegato Mollema. “L’urgenza dal punto di vista della sicurezza è determinata dall’importanza per gli amministratori di isolare le risorse di Exchange on-premise da quelle ospitate nel cloud. Nella vecchia configurazione, il sistema Exchange ibrido aveva pieno accesso a tutte le risorse di Exchange Online e SharePoint”.
Lo specialista ha inoltre sottolineato ancora una volta che lo sfruttamento di CVE-2025-53786 avviene dopo la compromissione, ovvero l’aggressore deve compromettere in anticipo l’ambiente locale o i server Exchange e disporre dei privilegi di amministratore.
RedazioneDiversi prodotti di sicurezza Fortinet, tra cui FortiOS, FortiProxy e FortiPAM, sono interessati da una vulnerabilità di evasione dell’autenticazione di alta gravità. La falla, monito...
Agosto Patch Tuesday: Microsoft rilascia aggiornamenti sicurezza che fixano 107 vulnerabilità nei prodotti del suo ecosistema. L’aggiornamento include correzioni per 90 vulnerabilità,...
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione compl...
Come era prevedibile, il famigerato bug scoperto su WinRar, viene ora sfruttato attivamente dai malintenzionati su larga scala, vista la diffusione e la popolarità del software. Gli esperti di ES...
Il Governo della Repubblica Popolare Cinese (“Cina”) e il Governo degli Stati Uniti d’America (“USA”), secondo quanto riportato da l’agenzia di stampa Xinhua ...
