Λίγο μετά την επίσημη προειδοποίηση της Αμερικανικής Υπηρεσίας Κυβερνοάμυνας για επιθέσεις σε κάμερες, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εξέδωσε νέα ειδοποίηση. Αυτή τη φορά αφορά χρήστες του Microsoft Exchange Server και, χωρίς άμεση αντιμετώπιση, θα μπορούσε να επιτρέψει σε έναν εισβολέα να κλιμακώσει προνόμια και να «επηρεάσει την ακεραιότητα ταυτότητας της υπηρεσίας Exchange Online ενός οργανισμού».
Ωστόσο, δεν είναι όλα άσχημα νέα για την ασφάλεια της Microsoft· ο τεχνολογικός κολοσσός επιβεβαίωσε νέες AI προστασίες που μπορούν αυτόνομα να κάνουν reverse engineering και να ταξινομήσουν κακόβουλο λογισμικό χωρίς προηγούμενες πληροφορίες.
Microsoft – Η προειδοποίηση της CISA
«Η CISA γνωρίζει για την πρόσφατα αποκαλυφθείσα ευπάθεια υψηλής σοβαρότητας, CVE-2025-53786», ανέφερε η οδηγία της 6ης Αυγούστου, «η οποία επιτρέπει σε έναν κυβερνοεγκληματία με δικαιώματα διαχειριστή σε on-premise Microsoft Exchange server να κλιμακώσει προνόμια εκμεταλλευόμενος ευάλωτες διαμορφώσεις hybrid-joined».
Η Microsoft ανακοίνωσε ότι «από τον Αύγουστο του 2025 θα αρχίσει προσωρινά να αποκλείει την κυκλοφορία Exchange Web Services χρησιμοποιώντας το Exchange Online shared service principal» στο πλαίσιο μιας «σταδιακής στρατηγικής για την επιτάχυνση της υιοθέτησης της αποκλειστικής εφαρμογής Exchange hybrid και την ενίσχυση της ασφάλειας των περιβαλλόντων των πελατών».
Παρότι η CISA επιβεβαίωσε ότι δεν έχει παρατηρηθεί ενεργή εκμετάλλευση της CVE-2025-53786, συνέστησε έντονα στους οργανισμούς να ακολουθήσουν την καθοδήγηση της Microsoft.
Η ευπάθεια καταγράφεται επίσημα ως elevation of privilege vulnerability στον Microsoft Exchange Server Hybrid Deployment και σχετίζεται με ένα συνοδευτικό μη-ασφαλείας hot fix που εκδόθηκε στις 18 Απριλίου, όταν ανακοινώθηκαν τα hybrid deployments. «Έπειτα από περαιτέρω έρευνα», αναφέρει η επίσημη καταχώριση της CVE, «η Microsoft εντόπισε συγκεκριμένες επιπτώσεις ασφαλείας που συνδέονται με τις οδηγίες και τα βήματα διαμόρφωσης της ανακοίνωσης του Απριλίου».
Η CISA τόνισε επίσης ότι «συνιστά ανεπιφύλακτα στις οντότητες να αποσυνδέσουν από το διαδίκτυο δημόσια προσβάσιμες εκδόσεις του Exchange Server ή του SharePoint Server που έχουν φτάσει στο τέλος ζωής (EOL) ή στο τέλος υποστήριξης».
Επίδειξη της εκμετάλλευσης στο Black Hat
Ο ερευνητής της Outsider Security, Dirk-Jan Mollema, έδειξε πώς το shared service principal που σχετίζεται με την προειδοποίηση της CISA μπορεί να εκμεταλλευτεί. Η επίδειξη, στο συνέδριο Black Hat στο Λας Βέγκας, έγινε αφού η Microsoft είχε ενημερωθεί τρεις εβδομάδες πριν. Αυτό οδήγησε στην καταχώριση της CVE-2025-53786 και στην έκδοση οδηγιών αντιμετώπισης.
Το shared service principal, σε τέτοιες hybrid διαμορφώσεις, σημαίνει ότι το Exchange Online και οι on-premise servers μοιράζονται μια σχέση εμπιστοσύνης που τους επιτρέπει να πιστοποιούνται μεταξύ τους. Όπως έδειξε η παρουσίαση, αν ο επιτιθέμενος έχει δικαιώματα διαχειριστή στον on-premise Exchange server, μπορεί να παραγάγει «trusted tokens» και να χειραγωγήσει API κλήσεις ώστε να φαίνονται απολύτως νόμιμες για την πλευρά του cloud.
Ο Mollema δήλωσε ότι η εγκατάσταση μόνο του Microsoft Hotfix δεν αρκεί για την αντιμετώπιση του κινδύνου και ότι «απαιτούνται χειροκίνητες ενέργειες για τη μετάβαση σε dedicated service principal».
Project Ire: Η απάντηση της Microsoft με AI στην ταξινόμηση malware
Η Microsoft ανακοίνωσε επίσης το Project Ire, μια «αυτόνομη AI οντότητα που μπορεί να αναλύσει και να ταξινομήσει λογισμικό χωρίς βοήθεια», κάνοντας πλήρες reverse engineering ενός αρχείου λογισμικού για να εντοπίσει πιθανό malware χωρίς «καμία ένδειξη για την προέλευση ή τον σκοπό του», όπως αναλύει λεπτομερώς ο Davey Winder.
Το Project Ire δημιουργήθηκε από συνεργασία των Microsoft Research, Microsoft Defender Research και των ομάδων Microsoft Discovery & Quantum. Χρησιμοποιεί decompilers και άλλα εργαλεία για να καθορίσει αν το λογισμικό είναι κακόβουλο.
«Το σύστημα χρησιμοποιεί προηγμένα language models και μια σουίτα εργαλείων reverse engineering και binary analysis για να καθοδηγεί την έρευνα και την αξιολόγηση», δήλωσε η Microsoft. Σύμφωνα με τα στοιχεία της, πετυχαίνει ποσοστό ακρίβειας 0,08 σε δημόσια datasets οδηγών Windows.
