Microsoft ha publicado un aviso para un defecto de seguridad de alta severidad que afecta las versiones locales de Exchange Server que podría permitir que un atacante obtenga privilegios elevados bajo ciertas condiciones.
La vulnerabilidad, rastreada como CVE-2025-53786lleva una puntuación CVSS de 8.0. Dirk-Jan Mollema con Security Outsider ha sido reconocido por informar el error.
«En un despliegue híbrido de Exchange, un atacante que primero gana acceso administrativo a un servidor de Exchange en las instalaciones podría potencialmente aumentar los privilegios dentro del entorno de la nube conectado de la organización sin dejar rastros fácilmente detectables y auditables», dijo el gigante tecnológico en la alerta.
«Este riesgo surge porque Exchange Server y Exchange Online comparten el mismo principal de servicio en configuraciones híbridas».
La explotación exitosa de la falla podría permitir que un atacante intensifique los privilegios dentro del entorno de nube conectado de la organización sin dejar rastros fácilmente detectables y auditables, agregó la compañía. Sin embargo, el ataque depende del actor de amenaza que ya tiene acceso al administrador a un servidor de Exchange.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), en un boletín propio, dijo que la vulnerabilidad podría afectar la integridad de identidad del servicio en línea de intercambio de una organización si se deja sin parpadear.
Como mitigaciones, se recomienda a los clientes revisar los cambios de seguridad del servidor Exchange para las implementaciones híbridas, instalar la solución caliente (o más nueva) de abril de 2025 y seguir las instrucciones de configuración.
«Si ha configurado previamente la autenticación de Exchange Hybrid u Oauth entre Exchange Server y su organización en línea de Exchange, pero ya no la usa, asegúrese de restablecer las KeyCredentials de KeyCredels del Principal del Servicio», dijo Microsoft.
En una presentación en la Conferencia de Seguridad Black Hat USA 2025, Mollema dijo que las versiones locales de Exchange Server tienen una credencial de certificado que se usa para autenticarse para Exchange Online y permitir OAuth en escenarios híbridos.
Estos certificados se pueden aprovechar para solicitar tokens de actores del servicio de servicio (S2S) del Servicio de Control de Acceso (ACS) de Microsoft, que finalmente proporciona acceso sin restricciones a Exchange Online y SharePoint sin ningún acceso condicional o controles de seguridad.
Más importante aún, estos tokens se pueden usar para hacerse pasar por cualquier usuario híbrido dentro del inquilino durante un período de 24 horas cuando se establece la propiedad «Trustedfordelegation» y no dejar registros cuando se emiten. Como mitigaciones, Microsoft planea hacer cumplir la separación obligatoria del intercambio en las instalaciones y los directores de servicio en línea de intercambio en octubre de 2025.
El desarrollo se produce cuando el fabricante de Windows dijo que comenzará a bloquear temporalmente el tráfico de servicios web de Exchange (EWS) utilizando el principal servicio compartido en línea de Exchange a partir de este mes en un esfuerzo por aumentar la adopción del cliente de la aplicación Hybrid Exchange dedicada y mejorar la postura de seguridad del entorno híbrido.
El aviso de Microsoft para CVE-2025-53786 también coincide con el análisis de CISA de varios artefactos maliciosos desplegados después de la explotación de fallas de SharePoint recientemente reveladas, rastreados colectivamente como Shell de herramientas.
Esto incluye dos binarios de DLL codificados Base64 y cuatro archivos activos de la página del servidor activo (ASPX) que están diseñados para recuperar la configuración de la clave de la máquina dentro de la configuración de una aplicación ASP.NET y actúan como un shell web para ejecutar comandos y cargar archivos.
«Los actores de amenaza cibernética podrían aprovechar este malware para robar claves criptográficas y ejecutar un comando PowerShell codificado por Base64 para hacer huellas dactilares y exfiltrar datos», dijo la agencia.
CISA también insta a las entidades a desconectar las versiones públicas de Exchange Server o SharePoint Server que han alcanzado su fin de vida (EOL) o de fin de servicio de Internet, sin mencionar que descontinúan el uso de versiones obsoletas.
CISA emite una directiva de emergencia
La Agencia de Ciberseguridad de EE. UU., El 7 de agosto de 2025, emitió una directiva de emergencia (ED 25-02), que requiere que las agencias federales de rama ejecutiva civil (FCEB) con los entornos híbridos de Microsoft Exchange implementen las mitigaciones requeridas a las 9 AM EDT el lunes 11 de agosto de 2025.
«Esta vulnerabilidad presenta un riesgo significativo para todas las organizaciones que operan configuraciones de unión híbridas de Microsoft Exchange que aún no han implementado la guía del parche de abril de 2025», dijo CISA.
CISA señaló además que la mitigación inmediata de CVE-2025-53786 es crítica y que el problema plantea riesgos severos para las organizaciones que operan Microsoft Exchange Hybrid-Jesed Configuraciones que aún no han seguido la guía del parche de abril de 2025
Las preocupaciones provienen del hecho de que un atacante, que ha establecido acceso administrativo en el servidor de Exchange en las instalaciones, podría aumentar los privilegios y obtener un control significativo del entorno en línea de Microsoft 365 Exchange de una víctima.
(La historia se actualizó después de la publicación para incluir detalles de una directiva de emergencia emitida por CISA).