Redazione RHC : 13 agosto 2025 08:53
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el dominio.
La vulnerabilidad CVE-2025-53786 permite a los atacantes que ya han obtenido acceso administrativo a servidores Exchange locales escalar privilegios en el entorno de nube conectado de una organización mediante la falsificación o manipulación de tokens de confianza y solicitudes de punto de acceso. Este ataque prácticamente no deja rastro, lo que dificulta su detección.
La vulnerabilidad afecta a Exchange Server 2016, Exchange Server 2019 y Microsoft Exchange Server Subscription Edition en configuraciones híbridas.
La vulnerabilidad está relacionada con los cambios realizados en abril de 2025, cuando Microsoft publicó las directrices y una revisión para Exchange como parte de la Iniciativa de Futuro Seguro. En ese momento, la empresa adoptó una nueva arquitectura con una aplicación híbrida independiente que reemplazó la identidad compartida insegura que utilizaban anteriormente los servidores Exchange locales y Exchange Online.
Posteriormente, los investigadores descubrieron que este esquema dejaba abierta la posibilidad de ataques maliciosos. En la conferencia Black Hat, Outsider Security demostró un ataque posterior a la explotación similar.
«Al principio no lo consideré una vulnerabilidad porque el protocolo utilizado para estos ataques se diseñó teniendo en cuenta las características descritas en el informe y simplemente carecía de controles de seguridad importantes», afirma. Dirk-Jan Mollema, de Outsider Security.
Aunque los expertos de Microsoft no han encontrado indicios de explotación del problema en ataques reales, la vulnerabilidad se ha marcado como «Explotación muy probable», lo que significa que la compañía espera que aparezcan exploits pronto.
Como advierten los analistas de Shadowserver, hay 29 098 servidores Exchange en la red que no han recibido los parches. Como resultado, se encontraron más de 7200 direcciones IP en Estados Unidos, más de 6700 en Alemania y más de 2500 en Rusia.
Al día siguiente de que se revelara el problema, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia que ordenaba a todas las agencias federales (incluidos los departamentos del Tesoro y de Energía) abordar la amenaza con urgencia.
En una boletín de seguridad, los representantes de CISA enfatizaron que no corregir la CVE-2025-53786 podría provocar la «vulneración total de un dominio híbrido en la nube y local».
Como explicó Mollema, los usuarios de Microsoft Exchange que ya hayan instalado la revisión mencionada y hayan seguido las recomendaciones de la compañía de abril deberían estar protegidos contra el nuevo problema. Sin embargo, quienes aún no hayan implementado las protecciones siguen en riesgo y deben instalar la revisión y seguir las instrucciones de Microsoft (1, 2) sobre la implementación de una aplicación híbrida de Exchange independiente.
«En este caso, simplemente aplicar una revisión no es suficiente; se requieren pasos manuales adicionales para migrar a un servicio principal dedicado», explicó Mollema. Desde una perspectiva de seguridad, la urgencia radica en la importancia de que los administradores aíslen los recursos locales de Exchange de los alojados en la nube. En la configuración anterior, el sistema híbrido de Exchange tenía acceso total a todos los recursos de Exchange Online y SharePoint.
El especialista también reiteró que la explotación de CVE-2025-53786 ocurre después de la vulneración, lo que significa que el atacante primero debe vulnerar el entorno local o los servidores de Exchange y tener privilegios de administrador.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
