Redazione RHC : 13 agosto 2025 08:53
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el dominio.
La vulnerabilidad CVE-2025-53786 permite a los atacantes que ya han obtenido acceso administrativo a servidores Exchange locales escalar privilegios en el entorno de nube conectado de una organización mediante la falsificación o manipulación de tokens de confianza y solicitudes de punto de acceso. Este ataque prácticamente no deja rastro, lo que dificulta su detección.
La vulnerabilidad afecta a Exchange Server 2016, Exchange Server 2019 y Microsoft Exchange Server Subscription Edition en configuraciones híbridas.
La vulnerabilidad está relacionada con los cambios realizados en abril de 2025, cuando Microsoft publicó las directrices y una revisión para Exchange como parte de la Iniciativa de Futuro Seguro. En ese momento, la empresa adoptó una nueva arquitectura con una aplicación híbrida independiente que reemplazó la identidad compartida insegura que utilizaban anteriormente los servidores Exchange locales y Exchange Online.
Posteriormente, los investigadores descubrieron que este esquema dejaba abierta la posibilidad de ataques maliciosos. En la conferencia Black Hat, Outsider Security demostró un ataque posterior a la explotación similar.
«Al principio no lo consideré una vulnerabilidad porque el protocolo utilizado para estos ataques se diseñó teniendo en cuenta las características descritas en el informe y simplemente carecía de controles de seguridad importantes», afirma. Dirk-Jan Mollema, de Outsider Security.
Aunque los expertos de Microsoft no han encontrado indicios de explotación del problema en ataques reales, la vulnerabilidad se ha marcado como «Explotación muy probable», lo que significa que la compañía espera que aparezcan exploits pronto.
Como advierten los analistas de Shadowserver, hay 29 098 servidores Exchange en la red que no han recibido los parches. Como resultado, se encontraron más de 7200 direcciones IP en Estados Unidos, más de 6700 en Alemania y más de 2500 en Rusia.
Al día siguiente de que se revelara el problema, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia que ordenaba a todas las agencias federales (incluidos los departamentos del Tesoro y de Energía) abordar la amenaza con urgencia.
En una boletín de seguridad, los representantes de CISA enfatizaron que no corregir la CVE-2025-53786 podría provocar la «vulneración total de un dominio híbrido en la nube y local».
Como explicó Mollema, los usuarios de Microsoft Exchange que ya hayan instalado la revisión mencionada y hayan seguido las recomendaciones de la compañía de abril deberían estar protegidos contra el nuevo problema. Sin embargo, quienes aún no hayan implementado las protecciones siguen en riesgo y deben instalar la revisión y seguir las instrucciones de Microsoft (1, 2) sobre la implementación de una aplicación híbrida de Exchange independiente.
«En este caso, simplemente aplicar una revisión no es suficiente; se requieren pasos manuales adicionales para migrar a un servicio principal dedicado», explicó Mollema. Desde una perspectiva de seguridad, la urgencia radica en la importancia de que los administradores aíslen los recursos locales de Exchange de los alojados en la nube. En la configuración anterior, el sistema híbrido de Exchange tenía acceso total a todos los recursos de Exchange Online y SharePoint.
El especialista también reiteró que la explotación de CVE-2025-53786 ocurre después de la vulneración, lo que significa que el atacante primero debe vulnerar el entorno local o los servidores de Exchange y tener privilegios de administrador.
RedazioneMartes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...
