Microsoft ha publicado un aviso para un defecto de seguridad de incorporación severidad que afecta las versiones locales de Exchange Server que podría permitir que un atacante obtenga privilegios elevados bajo ciertas condiciones.
La vulnerabilidad, rastreada como CVE-2025-53786lleva una puntuación CVSS de 8.0. Dirk-Jan Mollema con Security Outsider ha sido agradecido por informar el error.
«En un despliegue híbrido de Exchange, un atacante que primero apetito llegada burócrata a un servidor de Exchange en las instalaciones podría potencialmente aumentar los privilegios adentro del entorno de la aglomeración conectado de la estructura sin dejar rastros fácilmente detectables y auditables», dijo el hércules tecnológico en la alerta.
«Este peligro surge porque Exchange Server y Exchange Online comparten el mismo principal de servicio en configuraciones híbridas».
La explotación exitosa de la error podría permitir que un atacante intensifique los privilegios adentro del entorno de aglomeración conectado de la estructura sin dejar rastros fácilmente detectables y auditables, agregó la compañía. Sin bloqueo, el ataque depende del actor de amenaza que ya tiene llegada al administrador a un servidor de Exchange.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), en un boletín propio, dijo que la vulnerabilidad podría afectar la integridad de identidad del servicio en hilera de intercambio de una estructura si se deja sin parpadear.
Como mitigaciones, se recomienda a los clientes revisar los cambios de seguridad del servidor Exchange para las implementaciones híbridas, instalar la posibilidad caliente (o más nueva) de abril de 2025 y seguir las instrucciones de configuración.
«Si ha configurado previamente la autenticación de Exchange Hybrid u Oauth entre Exchange Server y su estructura en hilera de Exchange, pero ya no la usa, asegúrese de restablecer las KeyCredentials de KeyCredels del Principal del Servicio», dijo Microsoft.
En una presentación en la Conferencia de Seguridad Black Hat USA 2025, Mollema dijo que las versiones locales de Exchange Server tienen una credencial de certificado que se usa para autenticarse para Exchange Online y permitir OAuth en escenarios híbridos.
Estos certificados se pueden beneficiarse para solicitar tokens de actores del servicio de servicio (S2S) del Servicio de Control de Ataque (ACS) de Microsoft, que finalmente proporciona llegada sin restricciones a Exchange Online y SharePoint sin ningún llegada condicional o controles de seguridad.
Más importante aún, estos tokens se pueden usar para hacerse sobrevenir por cualquier becario híbrido adentro del inquilino durante un período de 24 horas cuando se establece la propiedad «Trustedfordelegation» y no dejar registros cuando se emiten. Como mitigaciones, Microsoft planea hacer cumplir la separación obligatoria del intercambio en las instalaciones y los directores de servicio en hilera de intercambio en octubre de 2025.
El expansión se produce cuando el fabricante de Windows dijo que comenzará a sitiar temporalmente el tráfico de servicios web de Exchange (EWS) utilizando el principal servicio compartido en hilera de Exchange a partir de este mes en un esfuerzo por aumentar la acogida del cliente de la aplicación Hybrid Exchange dedicada y mejorar la postura de seguridad del entorno híbrido.
El aviso de Microsoft para CVE-2025-53786 todavía coincide con el exploración de CISA de varios artefactos maliciosos desplegados posteriormente de la explotación de fallas de SharePoint recientemente reveladas, rastreados colectivamente como Shell de herramientas.
Esto incluye dos binarios de DLL codificados Base64 y cuatro archivos activos de la página del servidor activo (ASPX) que están diseñados para recuperar la configuración de la esencia de la máquina adentro de la configuración de una aplicación ASP.NET y actúan como un shell web para ejecutar comandos y cargar archivos.
«Los actores de amenaza cibernética podrían beneficiarse este malware para robar claves criptográficas y ejecutar un comando PowerShell codificado por Base64 para hacer huellas dactilares y exfiltrar datos», dijo la agencia.
CISA todavía insta a las entidades a desconectar las versiones públicas de Exchange Server o SharePoint Server que han escaso su fin de vida (EOL) o de fin de servicio de Internet, sin mencionar que descontinúan el uso de versiones obsoletas.
CISA emite una directiva de emergencia
La Agencia de Ciberseguridad de EE. UU., El 7 de agosto de 2025, emitió una directiva de emergencia (ED 25-02), que requiere que las agencias federales de rama ejecutiva civil (FCEB) con los entornos híbridos de Microsoft Exchange implementen las mitigaciones requeridas a las 9 AM EDT el lunes 11 de agosto de 2025.
«Esta vulnerabilidad presenta un peligro significativo para todas las organizaciones que operan configuraciones de unión híbridas de Microsoft Exchange que aún no han implementado la maestro del parche de abril de 2025», dijo CISA.
CISA señaló encima que la mitigación inmediata de CVE-2025-53786 es crítica y que el problema plantea riesgos severos para las organizaciones que operan Microsoft Exchange Hybrid-Jesed Configuraciones que aún no han seguido la maestro del parche de abril de 2025
Las preocupaciones provienen del hecho de que un atacante, que ha establecido llegada burócrata en el servidor de Exchange en las instalaciones, podría aumentar los privilegios y obtener un control significativo del entorno en hilera de Microsoft 365 Exchange de una víctima.
(La historia se actualizó posteriormente de la publicación para incluir detalles de una directiva de emergencia emitida por CISA).
