Redazione RHC : 13 agosto 2025 08:53
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el dominio.
La vulnerabilidad CVE-2025-53786 permite a los atacantes que ya han obtenido acceso administrativo a servidores Exchange locales escalar privilegios en el entorno de nube conectado de una organización mediante la falsificación o manipulación de tokens de confianza y solicitudes de punto de acceso. Este ataque prácticamente no deja rastro, lo que dificulta su detección.
La vulnerabilidad afecta a Exchange Server 2016, Exchange Server 2019 y Microsoft Exchange Server Subscription Edition en configuraciones híbridas.
La vulnerabilidad está relacionada con los cambios realizados en abril de 2025, cuando Microsoft publicó las directrices y una revisión para Exchange como parte de la Iniciativa de Futuro Seguro. En ese momento, la empresa adoptó una nueva arquitectura con una aplicación híbrida independiente que reemplazó la identidad compartida insegura que utilizaban anteriormente los servidores Exchange locales y Exchange Online.
Posteriormente, los investigadores descubrieron que este esquema dejaba abierta la posibilidad de ataques maliciosos. En la conferencia Black Hat, Outsider Security demostró un ataque posterior a la explotación similar.
«Al principio no lo consideré una vulnerabilidad porque el protocolo utilizado para estos ataques se diseñó teniendo en cuenta las características descritas en el informe y simplemente carecía de controles de seguridad importantes», afirma. Dirk-Jan Mollema, de Outsider Security.
Aunque los expertos de Microsoft no han encontrado indicios de explotación del problema en ataques reales, la vulnerabilidad se ha marcado como «Explotación muy probable», lo que significa que la compañía espera que aparezcan exploits pronto.
Como advierten los analistas de Shadowserver, hay 29 098 servidores Exchange en la red que no han recibido los parches. Como resultado, se encontraron más de 7200 direcciones IP en Estados Unidos, más de 6700 en Alemania y más de 2500 en Rusia.
Al día siguiente de que se revelara el problema, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) emitió una directiva de emergencia que ordenaba a todas las agencias federales (incluidos los departamentos del Tesoro y de Energía) abordar la amenaza con urgencia.
En una boletín de seguridad, los representantes de CISA enfatizaron que no corregir la CVE-2025-53786 podría provocar la «vulneración total de un dominio híbrido en la nube y local».
Como explicó Mollema, los usuarios de Microsoft Exchange que ya hayan instalado la revisión mencionada y hayan seguido las recomendaciones de la compañía de abril deberían estar protegidos contra el nuevo problema. Sin embargo, quienes aún no hayan implementado las protecciones siguen en riesgo y deben instalar la revisión y seguir las instrucciones de Microsoft (1, 2) sobre la implementación de una aplicación híbrida de Exchange independiente.
«En este caso, simplemente aplicar una revisión no es suficiente; se requieren pasos manuales adicionales para migrar a un servicio principal dedicado», explicó Mollema. Desde una perspectiva de seguridad, la urgencia radica en la importancia de que los administradores aíslen los recursos locales de Exchange de los alojados en la nube. En la configuración anterior, el sistema híbrido de Exchange tenía acceso total a todos los recursos de Exchange Online y SharePoint.
El especialista también reiteró que la explotación de CVE-2025-53786 ocurre después de la vulneración, lo que significa que el atacante primero debe vulnerar el entorno local o los servidores de Exchange y tener privilegios de administrador.
RedazioneEl trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
