פרצת Exchange חמורה משאירה עשרות אלפי שרתים חשופים להשתלטות
כ-30 אלף שרתי Exchange לא חסמו פרצה המאפשרת לתוקפים לעבור מהשרת המקומי לענן, להסתובב בחופשיות ולשלוט בכל הדומיין. זאת למרות שהתיקון שוחרר כבר באפריל
תמונה: Dreamstime
למרות שמיקרוסופט שחררה תיקון עוד באפריל, עשרות אלפי שרתי Exchange ברחבי העולם נשארו חשופים לפרצת אבטחה חמורה (CVE-2025-53786) שמאפשרת לתוקפים להשתלט על דומיינים.
הפרצה משמשת כקרש קפיצה לתוקף שכבר השיג גישת אדמין לשרת Exchange מקומי (on-prem), לסביבת הענן של הארגון על ידי זיוף טוקנים או קריאות API, כך שהמערכות לא מקבלות התראה על פעילות חריגה, למרות שהן בעצם משמשות לפריצה.
התוקף יכול להסתובב באופן חופשי בתוך המערכת, לגשת לכל פיסת מידע שירצה ולקבל בסופו של דבר שליטה מלאה על כל הדומיין – כולל חשבונות, קבצים והרשאות.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מי נשאר חשוף?
הבעיה נוגעת לגרסאות Exchange Server 2016 ו-2019 ולגרסת ה-Subscription החדשה, הפועלת באופן היברדי – גם מקומי וגם בענן. מיקרוסופט עדכנה על הפרצה כחלק מיוזמת Secure Future Initiative שלה, שהציגה ארכיטקטורה חדשה ובטוחה יותר במקום מודל הזהות המשותפת הישן.
לפי סריקות של Shadowserver, פלטפורמה לניטור איומי סייבר, נכון ל-10 באוגוסט ישנם 29,098 שרתים שלא תוקנו. למרות שבמיקרוסופט לא מצאו עד כה עדויות לניצול התקיפה, היא סומנה כ-"Exploitation More Likely" (סבירות גבוהה יותר לניצול), מאחר שניתן לפתח קוד שינצל אותה בצורה עקבית, מה שמגדיל את האטרקטיביות שלה בעיני תוקפים.
גם אם אתם לא ארגון ענק עם אלפי משתמשים, פריצה כזו עלולה להיות הרסנית עבורכם. גישה מלאה לדומיין משמעה שליטה על חשבונות משתמשים, מסמכים, מערכות פנימיות ושירותים בענן. התוקף יכול גם להישאר בפנים זמן רב בלי להתגלות, ולהשתמש בגישה כדי לפגוע בשותפים, לקוחות או ספקים.
אם אתם מנהלים שרת Exchange חשוב שתוודאו שהוא מעודכן לגרסה האחרונה עם התיקון ששחררה מיקרוסופט. בנוסף, מומלץ להריץ את Health Checker של מיקרוסופט, לבדוק אם ישנן גרסאות ישנות שלא נתמכות ולנתק אותן מהרשת ולעדכן את כל היתר לגרסאות CU האחרונות.
אם אתם עובדים עם Exchange, שווה לבדוק כבר היום אם השרת שלכם קיבל את התיקון. אחרת אתם עלולים למצוא את עצמכם עם תוקף שיש לו שליטה מלאה על כל הדומיין שלכם.
