Redazione RHC : 7 agosto 2025 07:56
Se ha descubierto una falla de seguridad crítica en implementaciones híbridas de Microsoft Exchange Server. Esta vulnerabilidad (CWE-287) permite a los atacantes con acceso administrativo local escalar sus privilegios en entornos de nube.
Aunque la complejidad del ataque se considera alta, los atacantes primero deben tener acceso administrativo a un servidor Exchange. Sin embargo, una vez cumplido este requisito, la clasificación de la vulnerabilidad indica que su explotación puede afectar recursos distintos a los del componente inicialmente comprometido.
Se trata de la vulnerabilidad CVE-2025-53786, documentada oficialmente por Microsoft el 6 de agosto de 2025, tras la demostración de un investigador en la conferencia de ciberseguridad Black Hat.
El investigador de seguridad Dirk-Jan Mollema, de Outsider Security, presentó técnicas detalladas de explotación en Black Hat 2025, demostrando cómo los atacantes pueden explotar esta configuración para cambiar las contraseñas de los usuarios, convertir a los usuarios de la nube en usuarios híbridos y suplantar la identidad de estos últimos.
La vulnerabilidad se deriva de la arquitectura de implementación híbrida de Exchange de Microsoft, que tradicionalmente utilizaba un principio de servicio compartido entre los servidores locales de Exchange y Exchange Online para la autenticación.
«Estos tokens tienen una validez de 24 horas. No se pueden revocar. Por lo tanto, si alguien los tiene, no hay absolutamente nada que se pueda hacer a modo de defensa», explicó Mollema durante su presentación.
La vulnerabilidad explota los tokens de acceso especiales utilizados para la comunicación del servidor Exchange con Microsoft 365, que no se pueden revocar una vez robados, lo que ofrece a los atacantes hasta 24 horas de acceso sin control. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) ha evaluado esta vulnerabilidad como de alta gravedad, con implicaciones significativas para la seguridad empresarial.
| Producto afectado | Compilación afectada |
|---|---|
| Actualización acumulativa 15 de Microsoft Exchange Server 2019 | 15.02.1748.024 |
| Actualización acumulativa 14 de Microsoft Exchange Server 2019 | 15.02.1544.025 |
| Actualización acumulativa 23 de Microsoft Exchange Server 2016 | 15.01.2507.055 |
| Microsoft Exchange Server RTM Edición de Suscripción | 15.02.2562.017 |
Según el aviso de CISA, la vulnerabilidad permite a un atacante con acceso administrativo a un servidor Microsoft Exchange obtener privilegios locales. Escalada mediante la explotación de configuraciones híbridas vulnerables. Si no se controla, esta falla podría afectar la integridad de la identidad del servicio Exchange Online de una organización. La documentación oficial de Microsoft explica que Exchange Server utilizaba anteriormente un servicio principal compartido con la misma aplicación de Exchange Online para funciones híbridas como el uso compartido de calendarios y las imágenes de perfil de usuario. Esta vulnerabilidad permite escenarios de ataque sofisticados en los que los adversarios con acceso administrativo inicial a servidores Exchange locales pueden escalar privilegios dentro de entornos de nube conectados. Esto la hace particularmente peligrosa para las organizaciones con implementaciones híbridas de Exchange, ya que un solo servidor local comprometido podría proporcionar una extensa nube. Acceso.
Microsoft declaró que no se había observado ninguna explotación de la vulnerabilidad hasta la fecha del anuncio, aunque investigadores de seguridad han demostrado ataques de prueba de concepto.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
