CISA ha emitido un asesoramiento de emergencia que ordenó a todas las agencias federales de rama ejecutiva civil que mitige una vulnerabilidad de unión híbrida recientemente revelada con urgencia, un seguimiento de vulnerabilidad, rastreada como CVE-2025-53786, a las 9:00 ADT del lunes 11 de agosto de 2025.
La falla permite a los atacantes que ya han obtenido acceso administrativo a un servidor de Exchange en el momento de pasar a los entornos de nube de Microsoft 365 conectados, lo que podría conducir a un compromiso de dominio completo en las implementaciones híbridas impactadas.
Si bien Microsoft dice que no ha observado la explotación en la publicación en la publicación, tanto Microsoft como CISA advierten que la vulnerabilidad plantea un riesgo severo en las organizaciones que utilizan configuraciones híbridas de Exchange porque Exchange Server e Exchange en línea compartieron históricamente el mismo director de servicio en ENTRA ID, que permite un abuso potencial sin senderos de auditoría fácilmente detectables.
El problema afecta a Microsoft Exchange Server 2016, 2019 y la edición de suscripción en implementaciones de unión híbrida.
CISA conjuntos de directivas plazos agresivos y acciones concretas. A las 9:00 a.m. EDT del lunes, las agencias deben inventario y evaluar sus entornos de intercambio utilizando el verificador de salud de Exchange Server de Microsoft, identificar actualizaciones acumulativas actuales, determinar la elegibilidad para las actualizaciones de Hotfix (HUS) de abril de 2025 y desconectar los servidores finales de vida o ineligibles.
Las agencias que operan o que hayan operado el intercambio en modo híbrido deben actualizarse a la última actualización acumulada admitida (Exchange 2019 CU14 o CU15; Exchange 2016 CU23), aplicar el Hus de abril de 2025, validar a través del controlador de salud y monitorear problemas conocidos como el comportamiento de EdgetRansport.exe con Azure RMS.
Una mitigación clave implica la transición del director de servicio compartido heredado a la nueva aplicación híbrida de intercambio dedicada de Microsoft en ID de Entra, utilizando el script ConfigureExchangeChillyBridApplication con los permisos de Entra apropiados.
Microsoft comenzó este cambio con el HUS de abril de 2025 como parte de su iniciativa segura futura, separando el servidor de intercambio y las identidades en línea de intercambio y preparando a los clientes para un movimiento más amplio de los servicios web de Exchange (EWS) a la API de Microsoft Graph con permisos granulares.
Microsoft advirtió que el uso del director de servicio compartido se bloqueará a partir de octubre de 2025 y que las actualizaciones del modelo de permiso de gráfico deben presentarse en octubre de 2026, con bloques de aplicación temporales de EWS a partir de este mes para acelerar la adopción.
CISA también aconseja Las organizaciones que previamente configuraron un híbrido pero que ya no lo usan para restablecer las credenciales clave utilizando el modo de limpieza principal de servicio de Microsoft y para ejecutar el controlador de salud después de los cambios para confirmar el cumplimiento.
A las 5:00 pm EDT del lunes, las agencias deben informar el estado de CISA utilizando una plantilla proporcionada, con CISA comprometiéndose con las notificaciones de socios en curso, la asistencia técnica y un informe de estado transversal para el 1 de diciembre de 2025.
Las empresas de seguridad y los medios hacen eco de la urgencia. Los analistas señalan que Microsoft calificó la explotación “más probable”, y los investigadores enfatizan el potencial de la escalada de privilegios sigilosos del intercambio en las principales intercambios en intercambio en línea si el principal compartido permanece en su lugar.
La alerta de CISA recomienda además desconectar los servidores EOL de EOL o SharePoint para reducir la exposición mientras se realizan las mitigaciones.
El HUS de Microsoft en abril de 2025, que introdujo el soporte para la aplicación híbrida dedicada, son acumulativas y requieren que las organizaciones planifiquen rutas de actualización a través del asistente de actualización de Exchange, vuelva a publicar el controlador de salud posterior a la actualización y usen la orientación de configuración o la orientación de reparación si surgen problemas.
Microsoft ha advertido sobre temas conocidos (incluido EdgetRansport.exe Behavior) y aclaró que los clientes híbridos que requieren “coexistencia rica” deben completar la transición de la aplicación dedicada antes de octubre de 2025 para evitar interrupciones en características como imágenes de correo gratuitas/ocupadas y de perfil.
Con una fecha límite federal ajustada y el riesgo de compromiso de nubes híbridas, la directiva de CISA subraya un mensaje claro: parche, reconfigurar a la aplicación híbrida dedicada y prepararse para la transición gráfica o enfrentar posibles impactos de integridad de identidad a cambio en línea.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
