أصدرت شركة مايكروسوفت تحذيرًا أمنيًا بشأن ثغرة خطيرة تؤثر على إصدارات Exchange Server المحلية، يمكن أن تتيح للمهاجم تصعيد الامتيازات في ظروف معينة، خصوصًا في بيئات النشر المختلط بين الخوادم المحلية وخدمة Exchange Online السحابية.
الثغرة، التي تحمل الرقم التعريفي CVE-2025-53786 وتبلغ درجة خطورتها 8.0 وفقًا لمقياس CVSS، اكتشفها الباحث الأمني ديرك يان مولّيما من شركة Outsider Security.
وقالت مايكروسوفت في التنبيه الأمني: “في بيئة Exchange المختلطة، قد يتمكن مهاجم يمتلك صلاحيات المسؤول على خادم Exchange المحلي من تصعيد الامتيازات داخل بيئة السحابة المتصلة، دون ترك آثار واضحة أو قابلة للتدقيق”.
مشكلة في مبدأ الوصول المشترك بين Exchange Server وExchange Online
تنبع خطورة الثغرة من أن Exchange Server وExchange Online يشتركان في نفس “المُعرف الخدمي” (Service Principal) في التكوينات المختلطة، ما يُسهّل استغلال العلاقة بين البيئتين لشن هجوم غير مرئي على Exchange Online.
وبحسب مايكروسوفت، فإن الهجوم لا يمكن تنفيذه إلا إذا كان المهاجم يمتلك أصلًا صلاحيات إدارية على خادم Exchange المحلي، مما يُبرز أهمية التحكم في الصلاحيات ومراجعة سياسات الأمان الداخلية.
تحذير رسمي من CISA وتوصيات بالتصحيح الفوري
أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أن الثغرة قد تؤثر على سلامة الهوية لخدمة Exchange Online في حال عدم تصحيحها، داعية المؤسسات إلى مراجعة التحديثات الأمنية الخاصة بـ Exchange Server في البيئات المختلطة.
وشددت مايكروسوفت على ضرورة تثبيت تحديث “Hot Fix” لشهر أبريل 2025 أو إصدار أحدث، إضافة إلى اتباع تعليمات التكوين الخاصة بالبيئة المختلطة. كما نصحت المؤسسات التي سبق لها تفعيل المصادقة باستخدام OAuth مع Exchange Online ولم تعد تستخدمها، بضرورة إعادة تعيين بيانات اعتماد service principal.
استغلال الشهادات لتجاوز الفحص الأمني والوصول غير المشروط
في عرضه خلال مؤتمر Black Hat USA 2025، أوضح مولّيما أن خوادم Exchange المحلية تستخدم شهادات اعتماد للمصادقة مع Exchange Online في سيناريوهات OAuth.
ويمكن استخدام هذه الشهادات للحصول على رموز “خدمة إلى خدمة” (S2S) من خدمة التحكم بالوصول التابعة لمايكروسوفت (ACS)، ما يتيح وصولاً غير مشروط إلى Exchange Online وSharePoint دون المرور بأي فحص أمني أو قيود الوصول المشروط.
الأخطر من ذلك، أن هذه الرموز يمكن استخدامها لانتحال هوية أي مستخدم مختلط في النظام لمدة 24 ساعة، إذا كانت خاصية “trustedfordelegation” مفعّلة، دون أن يتم تسجيل أي أثر في السجلات.
وقد أعلنت مايكروسوفت أنها ستبدأ اعتبارًا من أكتوبر 2025 في تطبيق فصل إجباري بين “service principal” الخاص بـ Exchange المحلي وExchange Online، ضمن خطة تعزيز الأمان في البيئات المختلطة.
إجراءات إضافية لتحسين الأمان في Exchange Online
ضمن جهودها لتعزيز تبني التطبيق الهجين المخصص لخدمة Exchange، قالت مايكروسوفت إنها ستبدأ مؤقتًا هذا الشهر في حظر حركة مرور Exchange Web Services (EWS) التي تستخدم “service principal” المشترك مع Exchange Online، بهدف تحسين وضع الأمان العام للعملاء.
ترابط مع حملات خبيثة طالت SharePoint مؤخرًا
جاء تنبيه مايكروسوفت بالتزامن مع تحليلات من CISA لعدة أدوات خبيثة جرى نشرها بعد استغلال ثغرات أمنية في SharePoint، والمعروفة جماعيًا باسم ToolShell.
تشمل الأدوات الخبيثة اثنين من ملفات DLL المشفرة بترميز Base64، وأربعة ملفات ASPX مُصممة لاستخراج مفاتيح التكوين ضمن تطبيقات ASP.NET، واستخدامها كـ web shell لتنفيذ الأوامر وتحميل الملفات.
وأضافت الوكالة: “يمكن للمهاجمين استخدام هذا النوع من البرمجيات الخبيثة لسرقة المفاتيح التشفيرية وتنفيذ أوامر PowerShell مشفرة بـ Base64 لتحديد خصائص النظام المستهدف وسرقة البيانات”.
ودعت CISA الكيانات إلى فصل خوادم Exchange أو SharePoint التي وصلت إلى نهاية عمرها التشغيلي (EOL) عن الإنترنت، والتوقف عن استخدام الإصدارات القديمة غير المدعومة.
