Lebih dari 29.000 server Microsoft Exchange yang terhubung ke internet dilaporkan belum diperbarui untuk menutup celah keamanan berisiko tinggi (CVE-2025-53786). Celah ini memungkinkan peretas yang sudah memiliki akses admin ke Exchange lokal (on-premises) untuk masuk lebih dalam ke lingkungan cloud Microsoft, bahkan sampai mengambil alih seluruh domain organisasi.
Kerentanan ini memengaruhi Exchange Server 2016, Exchange Server 2019, dan Exchange Server Subscription Edition pada konfigurasi hybrid. Dengan memanfaatkan celah ini, penyerang dapat memalsukan atau memanipulasi token serta panggilan API tanpa meninggalkan jejak jelas, sehingga sulit terdeteksi.
Microsoft telah merilis panduan dan pembaruan (hotfix) pada April 2025 sebagai bagian dari program Secure Future Initiative. Meski belum ada bukti penyalahgunaan, Microsoft memberi label “Exploitation More Likely” karena potensi kode eksploit dapat dibuat dan dimanfaatkan secara luas.
Data dari Shadowserver menunjukkan ribuan server di berbagai negara belum ditambal: lebih dari 7.200 di AS, 6.700 di Jerman, dan 2.500 di Rusia.
Sehari setelah Microsoft mengungkap celah ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan perintah darurat bagi semua lembaga federal untuk menutup celah sebelum Senin pagi waktu setempat. Langkah mitigasi meliputi pengecekan server dengan skrip Health Checker, memutus koneksi server yang tak lagi didukung pembaruan April 2025, dan menginstal pembaruan kumulatif terbaru (CU14/CU15 untuk Exchange 2019, CU23 untuk Exchange 2016) beserta hotfix terbaru.
Walau perintah ini wajib bagi instansi pemerintah, CISA juga mendesak semua organisasi swasta untuk segera melakukan pembaruan demi menghindari risiko kompromi total.