Redazione RHC : 13 Agosto 2025 08:51
29.000 server Exchange sono vulnerabili al CVE-2025-53786, che consente agli aggressori di muoversi all’interno degli ambienti cloud Microsoft, portando potenzialmente alla compromissione completa del dominio.
Il CVE-2025-53786 consente agli aggressori che hanno già ottenuto l’accesso amministrativo ai server Exchange locali di aumentare i privilegi nell’ambiente cloud connesso di un’organizzazione falsificando o manipolando token attendibili e richieste API. Questo attacco non lascia praticamente alcuna traccia, rendendolo difficile da rilevare.
La vulnerabilità riguarda Exchange Server 2016, Exchange Server 2019 e Microsoft Exchange Server Subscription Edition nelle configurazioni ibride.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità è correlata alle modifiche apportate nell’aprile 2025, quando Microsoft ha rilasciato linee guida e un hotfix per Exchange nell’ambito della Secure Future Initiative. In quell’occasione, l’azienda è passata a una nuova architettura con un’applicazione ibrida separata che ha sostituito l’identità condivisa non sicura utilizzata in precedenza dai server Exchange locali ed Exchange Online.
In seguito, i ricercatori hanno scoperto che questo schema lasciava aperta la possibilità di attacchi pericolosi. Alla conferenza Black Hat , Outsider Security dimostrò un simile attacco post-exploit.
“Inizialmente non l’ho considerata una vulnerabilità perché il protocollo utilizzato per questi attacchi era stato progettato tenendo conto delle caratteristiche discusse nel rapporto e mancava semplicemente di importanti controlli di sicurezza”, afferma Dirk-Jan Mollema di Outsider Security.
Sebbene gli esperti Microsoft non abbiano trovato alcun segno di sfruttamento del problema in attacchi reali, la vulnerabilità è stata contrassegnata come “Sfruttamento più probabile“, il che significa che l’azienda prevede che gli exploit appariranno presto.
Come avvertono gli analisti di Shadowserver , ci sono 29.098 server Exchange sulla rete che non hanno ricevuto le patch. Di conseguenza, sono stati trovati più di 7.200 indirizzi IP negli Stati Uniti, oltre 6.700 in Germania e più di 2.500 in Russia.
Il giorno dopo la divulgazione del problema, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso una direttiva di emergenza ordinando a tutte le agenzie federali (inclusi i dipartimenti del Tesoro e dell’Energia) di affrontare urgentemente la minaccia.
In un bollettino di sicurezza separato , i rappresentanti della CISA hanno sottolineato che la mancata correzione di CVE-2025-53786 potrebbe portare alla “completa compromissione di un cloud ibrido e di un dominio on-premise”.
Come spiegato da Mollema, gli utenti di Microsoft Exchange che hanno già installato l’hotfix menzionato e seguito le raccomandazioni di aprile dell’azienda dovrebbero essere protetti dal nuovo problema. Tuttavia, coloro che non hanno ancora implementato le misure di protezione sono ancora a rischio e dovrebbero installare l’hotfix e seguire anche le istruzioni di Microsoft ( 1 , 2 ) sull’implementazione di un’app ibrida di Exchange separata.
“In questo caso, non è sufficiente applicare semplicemente una patch; sono necessari ulteriori passaggi manuali per migrare a un servizio principale dedicato”, ha spiegato Mollema. “L’urgenza dal punto di vista della sicurezza è determinata dall’importanza per gli amministratori di isolare le risorse di Exchange on-premise da quelle ospitate nel cloud. Nella vecchia configurazione, il sistema Exchange ibrido aveva pieno accesso a tutte le risorse di Exchange Online e SharePoint”.
Lo specialista ha inoltre sottolineato ancora una volta che lo sfruttamento di CVE-2025-53786 avviene dopo la compromissione, ovvero l’aggressore deve compromettere in anticipo l’ambiente locale o i server Exchange e disporre dei privilegi di amministratore.
RedazioneI servizi segreti statunitensi hanno riferito di aver scoperto e sequestrato una rete di apparecchiature di telecomunicazione nell’area di New York in grado di interrompere il servizio di telefonia ...
Il colosso Cloudflare ha reso noto di aver gestito in autonomia un attacco DDoS (Distributed Denial-of-Service) senza precedenti, il più grande mai visto fino ad ora. L’attacco ipervolumetrico ha r...
Il cyberspazio non è più una dimensione marginale ma un vero e proprio dominio operativo strategico. La sua rilevanza è oggi equiparabile a quella di terra mare aria e spazio. L’accelerazione tec...
Da qualche giorno sta circolando la notizia, che al momento non mi risulta sia stata confermata da fonti ufficiali, di un attacco ransomware veicolato attraverso la funzionalità di gestione delle “...
L’Agenzia europea per la sicurezza informatica (ENISA) ha annunciato di aver identificato il ransomware che ha bloccato gli aeroporti europei. L’incidente ha colpito diverse città europee, tra cu...
