Microsoft Exchange، یکی از حیاتی‌ترین بسترهای ایمیل سازمانی، بار دیگر در کانون توجه قرار گرفته است. این بار آسیب‌پذیری کشف‌شده با شناسه CVE-2025-53786، نه تنها امنیت سرورهای داخلی On-Premises) را تهدید می‌کند، بلکه پلی ناامن به سمت سرویس‌های ابری Microsoft 365 ایجاد می‌کند. این نقص، مخصوصاً در معماری Hybrid Exchange خطرناک است و می‌تواند منجر به دسترسی کامل مهاجم به هر دو محیط داخلی و ابری شود، بدون آنکه ردی در لاگ‌های امنیتی به جا بماند.

جزئیات فنی آسیب‌پذیری

در معماری Hybrid Exchange، یک Service Principal  مشترک بین Exchange Server داخلی و Exchange Online برای همگام‌سازی و ارتباطات استفاده می‌شود. این سرویس، در حالت پیش‌فرض، اختیارات بسیار بالایی در Azure Active Directory دارد.

مشکل کجاست؟

اگر مهاجم به هر نحوی به Exchange Server داخلی دسترسی پیدا کند (چه از طریق اکسپلویت‌های قبلی، چه اعتبارنامه‌های لو رفته)، می‌تواند با سوءاستفاده از همین Service Principal به محیط ابری مهاجرت کرده و امتیازات مدیریتی (Global Admin) کسب کند. خطر اصلی اینجاست که این فعالیت‌ها ممکن است در لاگ‌های استاندارد Microsoft 365 به‌وضوح ثبت نشوند، که کار تشخیص حمله را بسیار دشوار می‌کند.

میزان شدت و ارزیابی ریسک

✔️ CVSS Score :  8.0 (High Severity)

✔️ تأیید توسط: مایکروسافت و CISA

✔️ محدوده تأثیر: تمام سازمان‌هایی که از Hybrid Exchange استفاده می‌کنند.

چرا این آسیب‌پذیری اهمیت دارد؟

1. حمله بدون ردپا (Stealth Attack)

برخلاف بسیاری از اکسپلویت‌ها که آثار قابل ردیابی در لاگ‌ها برجای می‌گذارند، این نقص در Hybrid Exchange  به مهاجم اجازه می‌دهد از مکانیزم‌های مجاز مایکروسافت برای برقراری ارتباط بین محیط داخلی و فضای ابری سوءاستفاده کند. این یعنی تمام عملیات مهاجم، در ظاهر، شبیه ترافیک و دسترسی‌های مجاز سیستم خواهد بود. در نتیجه، ابزارهای SIEM یا Microsoft 365 Defender ممکن است آن را به‌عنوان فعالیت عادی تفسیر کنند. این ویژگی، شناسایی نفوذ را به‌شدت دشوار می‌کند و مهاجم می‌تواند مدت‌ها بدون شناسایی باقی بماند (Persistence) .

2.پل مستقیم بین دو محیط (Internal-to-Cloud Lateral Movement)

معماری Hybrid عملاً یک تونل امن بین سرور داخلی (On-Premises Exchange) و Exchange Online  ایجاد می‌کند. این تونل از طریق Service Principal و OAuth token‌های معتبر کار می‌کند که دسترسی بسیار بالایی در Azure AD دارند. اگر مهاجم بتواند Exchange داخلی را کنترل کند (با هر روش: اکسپلویت، دسترسی ادمین، یا حتی Credential Theft) همان توکن‌ها را می‌تواند برای دسترسی به فضای ابری استفاده کند. این به معنای عبور از تمام لایه‌های امنیت مرزی (Perimeter Security) و ورود مستقیم به قلب زیرساخت ابری سازمان است.

3. معماری قدیمی Hybrid و مشکلات مهاجرت ناقص

بسیاری از سازمان‌ها به دلایل مختلف — از جمله نیاز به ذخیره محلی داده‌ها، وابستگی به سیستم‌های قدیمی، یا ناتوانی در مهاجرت کامل — همچنان معماری Hybrid را فعال نگه داشته‌اند. این مدل به دلیل طراحی اولیه‌اش، بر فرض اعتماد دوطرفه بین سرور داخلی و ابری استوار است. هرگونه ضعف امنیتی در بخش داخلی، مستقیماً امنیت بخش ابری را نیز تحت‌تأثیر قرار می‌دهد. مهاجرت ناقص (Partial Migration) هم مشکل را تشدید می‌کند، چون سازمان‌ها هم هزینه‌های نگهداری سرور داخلی را دارند، هم ریسک امنیتی مضاعف ناشی از ارتباط دائم با فضای ابری.

راهکارهای کاهش ریسک

مهلت پایان پشتیبانی و ضرورت مهاجرت

مایکروسافت اعلام کرده است که پشتیبانی از نسخه‌های 2016 و 2019 در 14 اکتبر 2025 پایان می‌یابد. پس از آن، هیچ به‌روزرسانی امنیتی‌ای برای آسیب‌پذیری‌های جدید ارائه نخواهد شد. برای سازمان‌هایی که زمان کافی ندارند، تنها گزینه، استفاده از برنامه Extended Security Updates  تا آوریل 2026 است که یک راه‌حل موقت است و به‌شدت توصیه می‌شود برای مهاجرت دائمی برنامه‌ریزی کنند.

نتیجه‌گیری

CVE-2025-53786 یک هشدار جدی برای همه سازمان‌هایی است که هنوز به معماری Hybrid Exchange متکی هستند. این نقص نشان می‌دهد که پل ارتباطی بین سرور داخلی و فضای ابری، اگر ایمن‌سازی نشود، می‌تواند همان مسیری باشد که مهاجم از آن برای نفوذ کامل استفاده می‌کند. راهکار قطعی، به‌روزرسانی فوری، حذف پیکربندی‌های ناامن و مهاجرت به معماری‌های مدرن‌تر است.