Más de 28,000 servidores de intercambio de Microsoft sin parpadeo están expuestos en Internet público y siguen siendo vulnerables a una falla de seguridad crítica designada CVE-2025-53786, según los nuevos datos de escaneo publicados el 7 de agosto de 2025 por la Fundación Shadowserver.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) emitió una Directiva de emergencia de emergencia 25-02 el 7 de agosto, ordenando a las agencias federales que aborden esta vulnerabilidad de alta severidad en las implementaciones híbridas de Microsoft Exchange a las 9:00 AM ET del lunes 11 de agosto.
El defecto, que lleva una puntuación CVSS de 8.0 de 10, permite a los atacantes con acceso administrativo a los servidores de intercambio locales para aumentar los privilegios dentro de los entornos de la nube de Microsoft 365 conectados sin dejar senderos de auditoría fácilmente detectables.
Los escaneos de vulnerabilidad diarios revelan que Estados Unidos, Alemania y Rusia representan a los tres principales países con las concentraciones más altas de servidores vulnerables expuestos.
Estos hallazgos se producen cuando Microsoft y CISA advierten sobre el “riesgo significativo e inaceptable” para las organizaciones de configuraciones híbridas de intercambio operativo que no han implementado la guía de seguridad de abril de 2025.
Los orígenes de la vulnerabilidad se remontan al 18 de abril de 2025, cuando Microsoft anunció los cambios de seguridad de Exchange Server para implementaciones híbridas junto con una actualización de Hotfix sin seguridad.
Inicialmente presentadas como mejoras de seguridad generales, Microsoft luego identificó implicaciones de seguridad específicas que requieren asignación de CVE después de una mayor investigación.
La compañía ahora recomienda instalar la instalación de la Hotfix de abril de 2025 o posterior e implementar cambios de configuración en los entornos híbridos de Exchange Server.
El defecto existe porque Exchange Server y Exchange Online comparten el mismo principal de servicio en configuraciones híbridas, creando una vía para ataques de escalada de privilegios.
El investigador de seguridad Dirk-Jan Mollema de Outsider Security, quien informó la vulnerabilidad, demostró la exploit en Black Hat USA 2025, que muestra cómo los actores de amenaza pueden forjar tokens de autenticación que siguen siendo válidos durante 24 horas mientras pasan por alto las políticas de acceso condicional.
Microsoft ha etiquetado la vulnerabilidad como “explotación más probable” a pesar de que no hay explotación activa confirmada a partir de la fecha de divulgación.
Sin embargo, el director interino de la CISA, Madhu Gottumukkala, enfatizó la urgencia, afirmando que la agencia está “tomando medidas urgentes para mitigar esta vulnerabilidad que plantea un riesgo significativo e inaceptable para los sistemas federales sobre los cuales dependen los estadounidenses”.
Las organizaciones deben instalar actualizaciones de Hotfix de Exchange Server de abril de Microsoft, implementar aplicaciones híbridas de intercambio dedicadas y limpiar las credenciales principales del servicio heredado.
Microsoft planea bloquear permanentemente el tráfico de servicios web de intercambio utilizando el director de servicio compartido después del 31 de octubre de 2025, como parte de su transición a una arquitectura API gráfica más segura.
CISA fomenta fuertemente a todas las organizaciones, no solo a las agencias federales, a implementar la guía de la directiva de emergencia para evitar el compromiso potencial de dominio total de los entornos locales y en la nube.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
