Situationen med ubeskyttede Microsoft Exchange-servere har taget en kritisk drejning. Næsten 29.000 servere er stadig upatchede, selv om CISAs nødfrist hurtigt nærmer sig.
Udbredt risiko før fristen
Tidligt mandag viste offentlige scanninger, at omkring 29.000 upatchede Microsoft Exchange-servere var eksponeret mod internettet. Disse servere er sårbare over for en alvorlig fejl – CVE-2025-53786 – der kan give angribere mulighed for at eskalere privilegier og kompromittere det tilknyttede cloudmiljø.
CISAs nøddirektiv
Som reaktion har Cybersecurity and Infrastructure Security Agency (CISA) udstedt nøddirektiv 25-02, der kræver, at alle føderale myndigheder patcher eller afbøder denne sårbarhed og rapporterer tilbage inden kl. 09:00 EDT den 11. august 2025. Myndighederne skal installere hotfixes, frakoble forældede servere og køre Microsoft Exchange Health Checker-scriptet for at sikre overholdelse af kravene og opretholde sikkerheden.
Hvorfor truslen er så alvorlig
Sårbarheden påvirker hybride Exchange-konfigurationer og gør det muligt for en angriber med administrativ adgang lokalt at trænge ind i Microsoft 365-cloudmiljøer. Den delte serviceidentitet mellem Exchange Server og Exchange Online gør denne eskalering diskret og svær at opdage.
Risikoen forværres, fordi ondsindet aktivitet muligvis ikke efterlader tydelige logfiler i cloudmiljøet, hvilket gør den ekstremt svær at opdage.
Global rækkevidde og konsekvenser
Shadowservers scanninger viser også globale konsekvenser: over 28.000 hybride Exchange-installationer er stadig upatchede, med berørte servere i blandt andet USA, Tyskland, Rusland og flere andre lande.
Hvad organisationer skal gøre nu
- Installer april 2025-hotfixet eller nyere kumulative opdateringer
- Skift til den dedikerede Exchange Hybrid-app
- Nulstil delte serviceidentiteter, hvis de ikke længere er nødvendige
- Kør Microsofts Health Checker og frakobl alle servere, der ikke understøttes
- Implementér realtidsovervågning og logning for at opdage skjulte angreb
Disse skridt er ikke valgfrie – manglende handling udsætter organisationer for risikoen for kompromittering på domæneniveau i både cloud- og on-prem-miljøer.
Konklusion
Krisen med ubeskyttede Microsoft Exchange-servere eskalerer. Med næsten 29.000 servere stadig eksponeret og CISAs frist kun få timer væk står organisationer over for alvorlige trusler. Hvis sårbarhederne udnyttes, kan angribere ubemærket infiltrere cloudinfrastrukturen. At handle hurtigt er ikke valgfrit – det er bydende nødvendigt.
0 svar til “Tusindvis af Microsoft Exchange-servere efterladt ubeskyttede”