Redazione RHC : 7 agosto 2025 07:56
Se ha descubierto una falla de seguridad crítica en implementaciones híbridas de Microsoft Exchange Server. Esta vulnerabilidad (CWE-287) permite a los atacantes con acceso administrativo local escalar sus privilegios en entornos de nube.
Aunque la complejidad del ataque se considera alta, los atacantes primero deben tener acceso administrativo a un servidor Exchange. Sin embargo, una vez cumplido este requisito, la clasificación de la vulnerabilidad indica que su explotación puede afectar recursos distintos a los del componente inicialmente comprometido.
Se trata de la vulnerabilidad CVE-2025-53786, documentada oficialmente por Microsoft el 6 de agosto de 2025, tras la demostración de un investigador en la conferencia de ciberseguridad Black Hat.
El investigador de seguridad Dirk-Jan Mollema, de Outsider Security, presentó técnicas detalladas de explotación en Black Hat 2025, demostrando cómo los atacantes pueden explotar esta configuración para cambiar las contraseñas de los usuarios, convertir a los usuarios de la nube en usuarios híbridos y suplantar la identidad de estos últimos.
La vulnerabilidad se deriva de la arquitectura de implementación híbrida de Exchange de Microsoft, que tradicionalmente utilizaba un principio de servicio compartido entre los servidores locales de Exchange y Exchange Online para la autenticación.
«Estos tokens tienen una validez de 24 horas. No se pueden revocar. Por lo tanto, si alguien los tiene, no hay absolutamente nada que se pueda hacer a modo de defensa», explicó Mollema durante su presentación.
La vulnerabilidad explota los tokens de acceso especiales utilizados para la comunicación del servidor Exchange con Microsoft 365, que no se pueden revocar una vez robados, lo que ofrece a los atacantes hasta 24 horas de acceso sin control. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) ha evaluado esta vulnerabilidad como de alta gravedad, con implicaciones significativas para la seguridad empresarial.
Producto afectado | Compilación afectada |
---|---|
Actualización acumulativa 15 de Microsoft Exchange Server 2019 | 15.02.1748.024 |
Actualización acumulativa 14 de Microsoft Exchange Server 2019 | 15.02.1544.025 |
Actualización acumulativa 23 de Microsoft Exchange Server 2016 | 15.01.2507.055 |
Microsoft Exchange Server RTM Edición de Suscripción | 15.02.2562.017 |
Según el aviso de CISA, la vulnerabilidad permite a un atacante con acceso administrativo a un servidor Microsoft Exchange obtener privilegios locales. Escalada mediante la explotación de configuraciones híbridas vulnerables. Si no se controla, esta falla podría afectar la integridad de la identidad del servicio Exchange Online de una organización. La documentación oficial de Microsoft explica que Exchange Server utilizaba anteriormente un servicio principal compartido con la misma aplicación de Exchange Online para funciones híbridas como el uso compartido de calendarios y las imágenes de perfil de usuario. Esta vulnerabilidad permite escenarios de ataque sofisticados en los que los adversarios con acceso administrativo inicial a servidores Exchange locales pueden escalar privilegios dentro de entornos de nube conectados. Esto la hace particularmente peligrosa para las organizaciones con implementaciones híbridas de Exchange, ya que un solo servidor local comprometido podría proporcionar una extensa nube. Acceso.
Microsoft declaró que no se había observado ninguna explotación de la vulnerabilidad hasta la fecha del anuncio, aunque investigadores de seguridad han demostrado ataques de prueba de concepto.
Se ha descubierto una falla de seguridad crítica en implementaciones híbridas de Microsoft Exchange Server. Esta vulnerabilidad (CWE-287) permite a los atacantes con acceso administrativo lo...
Se han descubierto vulnerabilidades críticas en el servidor de inferencia Triton de NVIDIA, que amenazan la seguridad de la infraestructura de IA en Windows y Linux. Esta solución de có...
Una publicación en un foro en línea del 26 de julio de 2025 nos llamó la atención: un usuario llamado «Bucad» anunciaba la venta de un exploit de día cero para RCE d...
Un nuevo estudio de Microsoft ofrece una perspectiva sorprendente (y perturbadora) sobre cómo la IA generativa está transformando la fuerza laboral global. Contrariamente a la creencia popul...
La Iniciativa de Día Cero (ZDI) de Trend Micro ha anunciado una recompensa digna de un corredor de día cero. Se ofrece una recompensa sin precedentes de 1.000.000 de dólares a quien des...