Redazione RHC : 13 agosto 2025 08:53
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el dominio.
La vulnerabilidad CVE-2025-53786 permite a los atacantes que ya han obtenido acceso administrativo a servidores Exchange locales escalar privilegios en el entorno de nube conectado de una organización mediante la falsificación o manipulación de tokens de confianza y solicitudes de punto de acceso. Este ataque prácticamente no deja rastro, lo que dificulta su detección.
La vulnerabilidad afecta a Exchange Server 2016, Exchange Server 2019 y Microsoft Exchange Server Subscription Edition en configuraciones híbridas.
La vulnerabilidad está relacionada con los cambios realizados en abril de 2025, cuando Microsoft publicó las directrices y una revisión para Exchange como parte de la Iniciativa de Futuro Seguro. En ese momento, la empresa adoptó una nueva arquitectura con una aplicación híbrida independiente que reemplazó la identidad compartida insegura que utilizaban anteriormente los servidores Exchange locales y Exchange Online.
Posteriormente, los investigadores descubrieron que este esquema dejaba abierta la posibilidad de ataques maliciosos. En la conferencia Black Hat, Outsider Security demostró un ataque posterior a la explotación similar.
«Al principio no lo consideré una vulnerabilidad porque el protocolo utilizado para estos ataques se diseñó teniendo en cuenta las características descritas en el informe y simplemente carecía de controles de seguridad importantes», afirma. Dirk-Jan Mollema, de Outsider Security.
Aunque los expertos de Microsoft no han encontrado indicios de explotación del problema en ataques reales, la vulnerabilidad se ha marcado como «Explotación muy probable», lo que significa que la compañía espera que aparezcan exploits pronto.
Como advierten los analistas de Shadowserver, hay 29 098 servidores Exchange en la red que no han recibido los parches. Como resultado, se encontraron más de 7200 direcciones IP en Estados Unidos, más de 6700 en Alemania y más de 2500 en Rusia.
Al día siguiente de que se revelara el problema, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia que ordenaba a todas las agencias federales (incluidos los departamentos del Tesoro y de Energía) abordar la amenaza con urgencia.
En una boletín de seguridad, los representantes de CISA enfatizaron que no corregir la CVE-2025-53786 podría provocar la «vulneración total de un dominio híbrido en la nube y local».
Como explicó Mollema, los usuarios de Microsoft Exchange que ya hayan instalado la revisión mencionada y hayan seguido las recomendaciones de la compañía de abril deberían estar protegidos contra el nuevo problema. Sin embargo, quienes aún no hayan implementado las protecciones siguen en riesgo y deben instalar la revisión y seguir las instrucciones de Microsoft (1, 2) sobre la implementación de una aplicación híbrida de Exchange independiente.
«En este caso, simplemente aplicar una revisión no es suficiente; se requieren pasos manuales adicionales para migrar a un servicio principal dedicado», explicó Mollema. Desde una perspectiva de seguridad, la urgencia radica en la importancia de que los administradores aíslen los recursos locales de Exchange de los alojados en la nube. En la configuración anterior, el sistema híbrido de Exchange tenía acceso total a todos los recursos de Exchange Online y SharePoint.
El especialista también reiteró que la explotación de CVE-2025-53786 ocurre después de la vulneración, lo que significa que el atacante primero debe vulnerar el entorno local o los servidores de Exchange y tener privilegios de administrador.
RedazioneLa primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
Hoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
