تحذير من ثغرة خطيرة في أنظمة Exchange الهجينة لدى مايكروسوفت

ثغرة أمنية تهدد بيئة Exchange الهجينة

أصدرت شركة مايكروسوفت تحذيراً أمنياً عاجلاً بشأن ثغرة شديدة الخطورة تهدد نشرات Exchange Server في البيئات الهجينة، والتي قد تمكّن المهاجمين من تصعيد صلاحياتهم في بيئة Exchange Online السحابية دون أن يتم رصدهم.

تُستخدم إعدادات Exchange الهجينة لربط خوادم Exchange المحلية بالخدمة السحابية Exchange Online، ما يتيح تكاملاً سلساً في خدمات البريد الإلكتروني والتقويم بين الخوادم المحلية والسحابية، بما يشمل القوائم العامة وجهات الاتصال المشتركة وسير البريد الإلكتروني.

لكن هذا الربط يتضمن استخدام “هوية مشتركة” تُعرف باسم “service principal”، تُستخدم للمصادقة بين الطرفين. هذه الهوية يمكن أن تُستغل من قبل مهاجم يتحكم في الخادم المحلي، ليقوم بتزوير رموز المصادقة أو التلاعب بطلبات API يُنظر إليها على أنها شرعية من قِبل الخدمة السحابية، نظراً لاعتمادها على الثقة الضمنية بالخادم المحلي.

صعوبة الكشف عن الهجمات

ما يزيد الأمر تعقيداً هو أن الإجراءات المنفذة من خلال خادم Exchange المحلي لا تولّد دائماً سجلات تشير إلى نشاط ضار داخل Microsoft 365، مما يجعل أدوات التدقيق السحابية مثل Microsoft Purview أو سجلات تدقيق M365 غير فعالة في رصد هذه الانتهاكات إذا كان مصدرها داخلياً.

وأوضحت مايكروسوفت في بيان أمني صدر يوم الأربعاء أن المهاجم الذي يتمكن من الوصول الإداري إلى خادم Exchange المحلي يمكنه تصعيد صلاحياته في بيئة المؤسسة السحابية المرتبطة دون ترك آثار واضحة أو قابلة للتدقيق، مشيرة إلى أن هذه الثغرة تُعرف الآن برمز CVE-2025-53786 وتم تصنيفها بأنها “شديدة الخطورة”.

الثغرة تؤثر على كل من Exchange Server 2016 وExchange Server 2019، بالإضافة إلى الإصدار الأحدث Exchange Server Subscription Edition، الذي يعتمد على نموذج الاشتراك بدلاً من الترخيص الدائم التقليدي.

تحذير من استغلال وشيك

رغم عدم وجود دليل حتى الآن على استغلال الثغرة في العالم الحقيقي، إلا أن مايكروسوفت صنّفتها ضمن الفئة “الأكثر احتمالاً للاستغلال”، نظراً لأن تحليلها أظهر أن تطوير شيفرة استغلال لهذه الثغرة ممكن بشكل موثوق، مما يجعلها هدفاً مغرياً للمهاجمين.

تحذيرات رسمية من CISA

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً منفصلاً بخصوص هذه الثغرة، ونصحت المؤسسات التي تعتمد على Exchange الهجين باتخاذ خطوات عاجلة لحماية بيئاتها، من بينها:

• تثبيت تحديثات الإصلاح الخاصة بمايكروسوفت لشهر أبريل 2025 على خوادم Exchange المحلية، والالتزام بإرشادات التكوين المرفقة.

• نشر تطبيق Exchange Hybrid App المخصص لتقليل الاعتماد على الهوية المشتركة.

• بالنسبة للمؤسسات التي سبق لها استخدام Exchange الهجين أو لا تزال تعتمد عليه، يُوصى بمراجعة أداة “Service Principal Clean-Up Mode” من مايكروسوفت لإعادة ضبط بيانات الاعتماد الخاصة بالهوية المشتركة.

كما يجب تشغيل أداة Microsoft Exchange Health Checker بعد إتمام هذه الخطوات لتقييم ما إذا كانت هناك حاجة لإجراءات إضافية.

مخاطر تهدد سلامة الهوية المؤسسية

جاء التحذير الأخير من CISA بعد سلسلة من التنبيهات الأمنية المرتبطة بمنتجات مايكروسوفت، من بينها اختراقات عبر تنسيقات JPEG في Windows وهجمات على خوادم SharePoint. إلا أن ثغرة CVE-2025-53786 نالت اهتماماً خاصاً نظراً لخطرها المباشر على بنية الهوية في المؤسسات التي تستخدم Exchange Online.

وفي هذا السياق، صرّحت مايكروسوفت أنها ابتداءً من أغسطس 2025 ستبدأ بحظر مؤقت لحركة مرور Exchange Web Services التي تعتمد على الهوية المشتركة، في إطار استراتيجية تدريجية تهدف إلى دفع العملاء نحو اعتماد تطبيق Exchange Hybrid App المخصص، مما يعزز أمن البيئات المؤسسية بشكل عام.