Microsoft ha alertado sobre una grave vulnerabilidad (CVE-2025-53786) en Exchange Server local que, en entornos híbridos con Exchange Online, permite a atacantes con acceso administrativo escalar privilegios en la nube sin ser detectados.

Microsoft ha emitido una advertencia sobre una grave vulnerabilidad que afecta a las versiones locales de Exchange Server. Esta falla podría ser aprovechada por atacantes para obtener privilegios elevados bajo ciertas condiciones específicas.

Identificada como CVE-2025-53786, la vulnerabilidad ha recibido una puntuación CVSS de 8.0 en términos de severidad. El investigador Dirk-jan Mollema, de la firma Outsider Security, fue quien reportó el hallazgo.

Según la compañía, en escenarios donde se utiliza una configuración híbrida entre Exchange Server local y Exchange Online, un atacante que haya logrado acceso administrativo al servidor local podría escalar privilegios en el entorno en la nube de la organización. Lo preocupante es que esto podría hacerse sin dejar rastros evidentes ni registros fáciles de auditar.

Esto se debe a que, en configuraciones híbridas, tanto Exchange Server como Exchange Online comparten el mismo “service principal”.

Aunque el ataque requiere que el intruso ya tenga control administrativo del servidor Exchange local, la posibilidad de escalar sus privilegios en la nube sin ser detectado representa un riesgo considerable.

Por su parte, la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) advirtió que, si no se aplica el parche correspondiente, la vulnerabilidad podría comprometer la integridad de identidad del servicio Exchange Online de una organización.

Como medida de mitigación, Microsoft recomienda revisar los cambios de seguridad implementados en entornos híbridos de Exchange, instalar el parche correspondiente de abril de 2025 (o una versión más reciente) y seguir cuidadosamente las instrucciones de configuración. Además, si se configuró anteriormente Exchange híbrido o autenticación OAuth con Exchange Online, pero ya no se utiliza, es importante restablecer las credenciales del “service principal”.

En paralelo, Microsoft anunció que a partir de este mes comenzará a bloquear temporalmente el tráfico de Exchange Web Services (EWS) que utilice el service principal compartido de Exchange Online. El objetivo es incentivar el uso de la aplicación dedicada para entornos híbridos y mejorar así la seguridad general del sistema.

Este anuncio también coincide con un análisis de CISA sobre distintos artefactos maliciosos que han sido desplegados tras la explotación de vulnerabilidades recientes en SharePoint, conocidas en conjunto como ToolShell.

El análisis incluye dos binarios DLL codificados en Base64 y cuatro archivos ASPX diseñados para obtener configuraciones clave de máquinas dentro de aplicaciones ASP.NET. También pueden funcionar como web shells para ejecutar comandos o subir archivos al servidor.

CISA advierte que actores maliciosos podrían usar este malware para robar claves criptográficas y ejecutar comandos PowerShell codificados en Base64, con el fin de identificar el sistema comprometido y extraer datos sensibles.

Finalmente, la agencia insta a las organizaciones a desconectar de internet las versiones públicas de Exchange Server o SharePoint Server que ya no reciben soporte, además de dejar de usar versiones obsoletas.

Fuente:thehackernews[.]com