Redazione RHC : 13 agosto 2025 08:53
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el dominio.
La vulnerabilidad CVE-2025-53786 permite a los atacantes que ya han obtenido acceso administrativo a servidores Exchange locales escalar privilegios en el entorno de nube conectado de una organización mediante la falsificación o manipulación de tokens de confianza y solicitudes de punto de acceso. Este ataque prácticamente no deja rastro, lo que dificulta su detección.
La vulnerabilidad afecta a Exchange Server 2016, Exchange Server 2019 y Microsoft Exchange Server Subscription Edition en configuraciones híbridas.
La vulnerabilidad está relacionada con los cambios realizados en abril de 2025, cuando Microsoft publicó las directrices y una revisión para Exchange como parte de la Iniciativa de Futuro Seguro. En ese momento, la empresa adoptó una nueva arquitectura con una aplicación híbrida independiente que reemplazó la identidad compartida insegura que utilizaban anteriormente los servidores Exchange locales y Exchange Online.
Posteriormente, los investigadores descubrieron que este esquema dejaba abierta la posibilidad de ataques maliciosos. En la conferencia Black Hat, Outsider Security demostró un ataque posterior a la explotación similar.
«Al principio no lo consideré una vulnerabilidad porque el protocolo utilizado para estos ataques se diseñó teniendo en cuenta las características descritas en el informe y simplemente carecía de controles de seguridad importantes», afirma. Dirk-Jan Mollema, de Outsider Security.
Aunque los expertos de Microsoft no han encontrado indicios de explotación del problema en ataques reales, la vulnerabilidad se ha marcado como «Explotación muy probable», lo que significa que la compañía espera que aparezcan exploits pronto.
Como advierten los analistas de Shadowserver, hay 29 098 servidores Exchange en la red que no han recibido los parches. Como resultado, se encontraron más de 7200 direcciones IP en Estados Unidos, más de 6700 en Alemania y más de 2500 en Rusia.
Al día siguiente de que se revelara el problema, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia que ordenaba a todas las agencias federales (incluidos los departamentos del Tesoro y de Energía) abordar la amenaza con urgencia.
En una boletín de seguridad, los representantes de CISA enfatizaron que no corregir la CVE-2025-53786 podría provocar la «vulneración total de un dominio híbrido en la nube y local».
Como explicó Mollema, los usuarios de Microsoft Exchange que ya hayan instalado la revisión mencionada y hayan seguido las recomendaciones de la compañía de abril deberían estar protegidos contra el nuevo problema. Sin embargo, quienes aún no hayan implementado las protecciones siguen en riesgo y deben instalar la revisión y seguir las instrucciones de Microsoft (1, 2) sobre la implementación de una aplicación híbrida de Exchange independiente.
«En este caso, simplemente aplicar una revisión no es suficiente; se requieren pasos manuales adicionales para migrar a un servicio principal dedicado», explicó Mollema. Desde una perspectiva de seguridad, la urgencia radica en la importancia de que los administradores aíslen los recursos locales de Exchange de los alojados en la nube. En la configuración anterior, el sistema híbrido de Exchange tenía acceso total a todos los recursos de Exchange Online y SharePoint.
El especialista también reiteró que la explotación de CVE-2025-53786 ocurre después de la vulneración, lo que significa que el atacante primero debe vulnerar el entorno local o los servidores de Exchange y tener privilegios de administrador.
RedazioneLa Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...
