Microsoft ha advertido a los clientes sobre una vulnerabilidad de alta severidad en las implementaciones híbridas de Exchange Server que podría permitir a los atacantes aumentar los privilegios en los entornos de la nube en línea de Exchange sin ser detectados.
En una presentación en la conferencia de seguridad Black Hat USA 2025, su descubridor, Dirk-jan Mollema, dijo que las versiones locales de Exchange Server tienen una credencial de certificado que se utiliza para autenticarse en Exchange en línea y permitir OAuth en escenarios híbridos.
Las configuraciones de Exchange híbrido permiten conectar los servidores de Exchange On-Premises con Exchange Online (part of Microsoft 365), lo que permite una integración perfecta de las características de correo electrónico y calendario entre los buzones en las instalaciones y los buzones en la nube, incluidos los calendarios compartidos, las listas de direcciones globales y el flujo de correo.
Sin embargo, en las implementaciones de Exchange Hybrid, el servidor de Exchange On-Prem y el Exchange Online también comparten el mismo servicio principal, que es una identidad compartida utilizada para la autenticación entre los dos entornos.
Al abusar de esta identidad compartida, los atacantes que controlan el Exchange On-Prem pueden forjar o manipular tokens de confianza o llamadas API que el lado de la nube aceptará como legítimo, ya que confía implícitamente en el servidor local.
Además, las acciones originarias de los Exchange locales no siempre generan registros asociados con el comportamiento malicioso en Microsoft 365. Por lo tanto, la auditoría tradicional basada en la nube (como Microsoft Purview o los registros de auditoría M365) puede no detectar violaciones de seguridad si se originaron en las instalaciones.
"En un despliegue híbrido de Exchange, un atacante que primero obtiene acceso administrativo a un servidor de Exchange en las instalaciones podría potencialmente aumentar los privilegios dentro del entorno de la nube conectado de la organización sin dejar un seguimiento fácil y auditable", dijo Microsoft en un aviso de seguridad que describe la vulnerabilidad de escalamiento de privilegios, identificada como CVE-2025-53786 (CVSS 8.0)
La vulnerabilidad afecta a Exchange Server 2016 y Exchange Server 2019, así como a la edición de suscripción de Microsoft Exchange Server, la última versión, que reemplaza el modelo de licencia perpetua tradicional con uno basado en suscripción.
Si bien Microsoft aún no ha observado explotación activa, la compañía lo ha etiquetado como "explotación más probable" porque su análisis reveló se podría desarrollar un código para explotar constantemente esta vulnerabilidad, aumentando su atractivo para los atacantes.
Según los análisis de la plataforma de monitoreo de amenazas de seguridad Shadowserver, más de 29.098 servidores Exchange aún no tienen parches contra posibles ataques CVE-2025-53786.
"Compromiso total de dominio"
CISA emitió un aviso separado que aborda este tema y aconsejó lo siguiente:
- Instalar las actualizaciones de Hotfix de Microsoft en abril 2025 Exchange Server en el servidor local de Exchange y seguir las instrucciones de configuración de Microsoft para entornos híbridos.
- Para las organizaciones que usan Exchange Hybrid (o han configurado previamente Exchange Hybrid pero ya no lo usan), revisar el modo de limpieza de Microsoft para obtener orientación sobre cómo restablecer las KeyCredentials de KeyCrededs del Principal del Servicio.
- Al finalizar, ejecutar el verificador de salud de Microsoft Exchange para determinar si se requieren más pasos.
CISA advirtió que no mitigar esta vulnerabilidad podría conducir "a una nube híbrida y un compromiso de total del dominio" e instó a los administradores a desconectar los servidores públicos que ejecutan versiones al final de la vida al final de la vida (EOL) o al final del servicio de Exchange Server o SharePoint Server de Internet.
En enero, Microsoft también recordó a los administradores que Exchange 2016 y Exchange 2019 alcanzarán su final del soporte extendido en octubre y compartieron orientación para aquellos que necesitan desmantelamiento de servidores obsoletos, aconsejándoles que migraran a Exchange en línea o actualizar a Exchange Server Subscription Edition (SE).
Fuente: BC