لا يزال أكثر من 29 ألف خادم Microsoft Exchange متصل بالإنترنت دون تحديث أمني ضد ثغرة عالية الخطورة، تمكّن المهاجمين من التحرك جانبياً داخل بيئات Microsoft السحابية، وقد تؤدي إلى اختراق كامل لنطاق المؤسسة. وتحمل الثغرة الرمز CVE-2025-53786، وتسمح لجهات التهديد التي تحصل على صلاحيات إدارية في خوادم Exchange المحلية باستغلال البيئة السحابية المتصلة عبر تزوير أو تعديل الرموز الموثوقة أو استدعاءات الـAPI، من دون ترك آثار واضحة، مما يصعّب اكتشاف الاستغلال.
تؤثر الثغرة على إصدارات Exchange Server 2016 وExchange Server 2019 وExchange Server Subscription Edition في البيئات الهجينة. وكشفت عنها مايكروسوفت في أبريل 2025، بالتزامن مع إصدار تحديث عاجل ضمن مبادرة Secure Future Initiative، التي قدّمت هيكلية جديدة تعتمد تطبيق هجين مخصص بديلاً عن الهوية المشتركة غير الآمنة بين Exchange المحلي وExchange Online.
ورغم أن مايكروسوفت لم ترصد حتى الآن أدلة على استغلال الثغرة في هجمات فعلية، فقد صنّفتها على أنها “أكثر عرضة للاستغلال” لاحتمال تطوير كود استغلال فعال يجعلها هدفاً جذاباً للمهاجمين.
وفقاً لعمليات المسح التي أجرتها منصة Shadowserver لمراقبة التهديدات، تم رصد 29,098 خادماً غير محدّث حتى 10 أغسطس، بينها أكثر من 7,200 عنوان IP في الولايات المتحدة، وأكثر من 6,700 في ألمانيا، وما يزيد على 2,500 في روسيا.
إلزام الوكالات الفيدرالية بالتصحيح الفوري
بعد يوم من إعلان مايكروسوفت عن الثغرة، أصدرت وكالة الأمن السيبراني الأمريكية CISA التوجيه الطارئ 25-02، الذي ألزم جميع الوكالات الفيدرالية المدنية، بما فيها وزارة الأمن الداخلي، ووزارة الخزانة، ووزارة الطاقة، بمعالجة الثغرة بحلول الساعة التاسعة صباحاً بتوقيت شرق الولايات المتحدة يوم الاثنين.
وطلبت الوكالة من الوكالات الفيدرالية جرد بيئة Exchange باستخدام أداة Microsoft Health Checker، وفصل الخوادم المكشوفة غير المدعومة بالتحديث الأمني عن الإنترنت، مثل الإصدارات التي وصلت إلى نهاية العمر التشغيلي أو الخدمة. كما أكدت ضرورة تحديث جميع الخوادم المتبقية إلى آخر التحديثات التراكمية (CU14 أو CU15 لـExchange 2019، وCU23 لـExchange 2016) وتثبيت التحديث الأمني الصادر في أبريل.
وفي تحذير منفصل، أكدت CISA أن الفشل في معالجة الثغرة CVE-2025-53786 قد يؤدي إلى “اختراق كامل للنطاق في البيئات السحابية والهجينة”. ورغم أن المنظمات غير الحكومية غير ملزمة باتباع التوجيه، فقد حثّت الوكالة جميع القطاعات على اتخاذ الإجراءات نفسها.
وقال المدير بالإنابة لـCISA، مادهـو جوتوموككالا: “المخاطر المرتبطة بهذه الثغرة تمتد إلى كل منظمة وقطاع يستخدم هذا النظام. ورغم إلزام الوكالات الفيدرالية، فإننا نحث بشدة جميع المؤسسات على تبني نفس التدابير الواردة في التوجيه الطارئ”.
