Az Exchange újabb hibája: könnyű prédák a hackereknek
A Microsoft és az amerikai kiberbiztonsági hatóság (CISA) újabb súlyos hibára figyelmeztet az Exchange Server hibrid telepítéseiben, amely lehetővé teheti a támadók számára, hogy helyszíni (on-premises) Exchange szerverekről átlépjenek a felhőbe (cloud), és akár teljes tartományi kompromittálást is elérjenek. Bár a most azonosított sérülékenységet, a CVE-2025-53786-ot egyelőre nem használják ki, a Microsoft szerint csak idő kérdése, hogy támadások célpontjává váljon, ezért minden szervezetnek sürgősen javítania kell a rendszereit. A CISA kötelezte az állami szerveket, hogy legkésőbb augusztus 11-ig elhárítsák a hibát.
Hogyan működik a sebezhetőség?
A sérülékenységet a hibrid Exchange rendszerek sajátossága okozza: ezekben közös identitást használnak a helyszíni és a felhőalapú (cloudos) levelezőszerverek az autentikációhoz. Egy támadó, aki adminisztrátori hozzáférést szerez a helyi Exchange-hez, innen viszonylag nyomtalanul tud továbblépni a szervezet felhőalapú rendszereibe is. A Microsoft ezt áprilisban már igyekezett orvosolni, de időközben újabb biztonsági részletek derültek ki.
Mit kell tenni most?
Minden, Exchange hibrid rendszert üzemeltető szervezetnek frissítenie kell a szerverén az április 18-i (vagy frissebb) biztonsági javítást, és követnie kell a Microsoft által leírt konfigurációs lépéseket, hogy a sebezhetőséget ne lehessen kihasználni. Bár a támadónak adminisztrátori jogokra van szüksége a helyi Exchange szerverhez, ha egyszer megszerzi ezeket, könnyen és nyom nélkül terjeszkedhet a felhőben is. A tét óriási: kormányzati hackerek vagy pénzéhes bűnözők válogatás nélkül támadhatnak, ha nem történik gyors frissítés.
Több mint ötven év után újra amerikai asztronauták indultak a Hold felé: a NASA történelmi Artemis II missziója ragyogóan startolt el Cape Canaveralból, és lelkes nézők ezrei töltötték meg a kilövőközpont környékét...
🤖 Különösen említést érdemel, hogy a vastagbélrák – amely az Egyesült Királyságban a negyedik leggyakoribb daganat, és a daganatos halálozás második fő oka – meglepő módon egyedi mikrobiális „ujjlenyomattal” rendelkezik...
🚗 Megérkezett a régóta várt iOS 26.4 frissítés, amely először teszi lehetővé harmadik féltől származó MI-chatbotok használatát az Apple CarPlay rendszerében...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Dungeon Survival (iPhone/iPad)A játék minden alkalommal új, véletlenszerűen generált barlangszinteket kínál, így mindig más kaland vár...
A Nomad bemutatta legújabb Tracking Card Air-jét, amely már támogatja a Google Eszközkeresés (Find My Device) hálózatát is, és egyetlen töltéssel akár hét hónapig működik...
Megtörtént, amire minden űrrajongó régóta várt: négy bátor űrhajós elstartolt a floridai Kennedy Űrközpontból, és belekezdtek egy tíznapos, felsőkategóriás körútra a Hold körül...
Több mint félmillió sornyi forráskód szivárgott ki az Anthropic Claude Code MI-rendszeréből, amely eddig ismeretlen újításokat és rejtett funkciókat leplezett le...
Különösen igaz ez most, amikor a megújuló energia egyre nagyobb szeletet hasít ki a világ energiaellátásából, miközben a fosszilis energiahordozók továbbra is markánsan jelen vannak...
Két szoftveres kutató most különösen pimasz módon mutatta be, milyen gyorsan képes a modern mesterséges intelligencia egész nyílt forráskódú projekteket újjáalkotni...
✈ Végre megérkezett az a menüpont, amire mindenki vágyott: a United mostantól mutatja a beszállás előtti biztonsági ellenőrzések várakozási idejét az appban – vagyis, ha épp eszméletlenül hosszú sorok kígyóznak, pontosan tudhatod, mennyit fogsz unatkozni multitasking közben a poggyászoddal...
Japánban egyre komolyabban veszik a lebegő adatközpontok fejlesztését. A Mitsui OSK Lines (MOL) és a Hitachi most együttműködést kötött, hogy 2027-re egy használt hajóból alakítsanak ki egy úszó szerverfarmot, amely hűtéséhez tengervizet vagy folyóvizet használna...
