Situationen med oskyddade Microsoft Exchange-servrar har tagit en kritisk vändning. Nästan 29 000 servrar är fortfarande opatchade, trots att CISAs akuta tidsfrist snabbt närmar sig.
Utbredd risk före tidsfristen
I början av måndagen visade offentliga skanningar att cirka 29 000 opatchade Microsoft Exchange-servrar var exponerade mot internet. Dessa servrar är sårbara för en allvarlig brist – CVE-2025-53786 – som kan göra det möjligt för angripare att höja sina behörigheter och kompromettera det anslutna molnekosystemet.
CISAs akuta direktiv
Som svar utfärdade Cybersecurity and Infrastructure Security Agency (CISA) det akuta direktivet 25-02, som kräver att alla federala myndigheter patchar eller åtgärdar denna sårbarhet och rapporterar tillbaka senast klockan 09:00 EDT den 11 augusti 2025. Myndigheterna måste tillämpa hotfixar, koppla bort föråldrade servrar och köra Microsoft Exchange Health Checker-skriptet för att säkerställa att patchkraven uppfylls och att säkerhetsnivån är tillräcklig.
Varför hotet är så allvarligt
Sårbarheten påverkar hybridkonfigurationer av Exchange och gör det möjligt för en angripare med administrativ åtkomst lokalt att ta sig in i Microsoft 365-miljöer i molnet. Den delade tjänstprincipalen mellan Exchange Server och Exchange Online gör att denna upptrappning kan ske obemärkt och är svår att upptäcka.
Risken ökar eftersom skadlig aktivitet kanske inte lämnar tydliga loggar i molnmiljön, vilket gör det mycket svårt att upptäcka.
Global spridning och konsekvenser
Shadowservers skanningar visar även på globala konsekvenser: över 28 000 hybridinstanser av Exchange är fortfarande opatchade, med drabbade servrar i bland annat USA, Tyskland, Ryssland och andra länder.
Vad organisationer måste göra nu
- Installera hotfixen från april 2025 eller nyare kumulativa uppdateringar
- Gå över till den dedikerade Exchange Hybrid-appen
- Återställ delade tjänstprincipalsuppgifter om de inte längre behövs
- Kör Microsofts Health Checker och koppla bort alla servrar som inte stöds
- Inför realtidsövervakning och loggning för att upptäcka dolda attacker
Dessa steg är inte valfria – att låta bli att agera utsätter organisationer för risken att få hela domännivån komprometterad, både i moln- och lokala miljöer.
Slutsats
Krisen med oskyddade Microsoft Exchange-servrar eskalerar. Med nästan 29 000 servrar fortfarande exponerade och CISAs tidsfrist bara timmar bort står organisationer inför allvarliga risker. Om de utnyttjas kan dessa sårbarheter göra det möjligt för angripare att i tysthet infiltrera molninfrastrukturen. Att agera är inte valfritt – det är absolut nödvändigt.
0 svar till ”Tusentals Microsoft Exchange-servrar lämnades oskyddade”