Se ha revelado una vulnerabilidad de seguridad crítica en las implementaciones híbridas de Microsoft Exchange Server, lo que permite a los atacantes con acceso administrativo local a privilegios aumentados a entornos en la nube sin trazas fácilmente detectables.
La vulnerabilidad, rastreada como CVE-2025-53786, fue documentada oficialmente por Microsoft el 6 de agosto de 2025, luego de la demostración de un investigador de seguridad en la Conferencia de Ciberseguridad Black Hat.
La vulnerabilidad proviene de la arquitectura de implementación híbrida Exchange de Microsoft, que tradicionalmente utilizaba un director de servicio compartido entre los servidores de intercambio locales e intercambia en línea para la autenticación.
El investigador de seguridad Dirk-Jan Mollema de Outsider Security presentó técnicas de explotación detalladas en Black Hat 2025, demostrando cómo los atacantes pueden aprovechar esta configuración para modificar las contraseñas de los usuarios, convertir a los usuarios de la nube en usuarios híbridos y hacerse pasar por usuarios híbridos.
“Estos tokens, son básicamente válidos durante 24 horas. No se puede revocarlos. Entonces, si alguien tiene este token, no hay absolutamente nada que pueda hacer desde un punto de vista defensivo”, explicó Mollema durante su presentación.
La vulnerabilidad explota tokens de acceso especial utilizados para la comunicación del servidor Exchange con Microsoft 365, que no se puede cancelar una vez robado, proporcionando a los atacantes hasta 24 horas de acceso sin control.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha evaluado esto como una vulnerabilidad de alta severidad con implicaciones significativas para la seguridad empresarial.
Según la alerta de CISA, la vulnerabilidad “permite a un actor de amenaza cibernética con acceso administrativo a un servidor de intercambio de Microsoft en instalación para aumentar los privilegios mediante la explotación de configuraciones vulnerables unidas híbridas”.
Vulnerabilidad de Microsoft Exchange Server
La falla podría afectar la integridad de identidad del servicio en línea de intercambio de una organización si no se aborda.
En particular, Microsoft ya había comenzar abordando esta vulnerabilidad a través de cambios de seguridad anunciados el 18 de abril de 2025. La compañía lanzó los cambios de seguridad de Exchange Server para la guía de implementaciones híbridas junto con una solución no seguro, aparentemente para mejorar la seguridad de las implementaciones de intercambio híbridos.
Sin embargo, la investigación posterior reveló que estos pasos de configuración en realidad abordaron una vulnerabilidad de seguridad real, lo que llevó a Microsoft a emitir CVE-2025-53786 para documentar la falla formalmente.
El anuncio de abril introdujo una transición de directores de servicio compartidos a aplicaciones híbridas de Exchange dedicadas. Este cambio fue diseñado para eliminar los problemas límite de seguridad que hicieron posible la vulnerabilidad.
La documentación oficial de Microsoft explica que Exchange Server utilizó anteriormente “un principal de servicio compartido con la misma aplicación que Exchange Online” para características híbridas como el intercambio de calendario y las imágenes de perfil de usuario.
La vulnerabilidad permite escenarios de ataque sofisticados donde los adversarios con acceso administrativo inicial a los servidores de intercambio locales pueden aumentar los privilegios dentro de los entornos de nubes conectados.
Según CISA’s evaluaciónLa explotación exitosa podría permitir a los atacantes aumentar los privilegios “dentro del entorno de nube conectado de la organización sin dejar rastros fácilmente detectables y auditables”.
La complejidad del ataque se califica como alta, lo que requiere que los atacantes primero posean acceso de administrador en un servidor de Exchange. Sin embargo, una vez que se cumple este requisito previo, la clasificación de cambio de alcance de la vulnerabilidad indica que la explotación puede afectar los recursos más allá del componente inicialmente comprometido.
Esta característica hace que sea particularmente peligroso para las organizaciones con implementaciones de intercambio híbridos, ya que un único servidor en las instalaciones comprometido podría proporcionar un amplio acceso en la nube.
Los expertos en seguridad han señalado que la vulnerabilidad es especialmente preocupante porque opera en la capa de identidad, lo que puede permitir a los atacantes modificar los permisos ejecutivos y establecer un acceso persistente entre los sistemas Intercle y Microsoft 365 de Microsoft 365.
Microsoft ha declarado que no hay una explotación observada de la vulnerabilidad a partir de la fecha de anuncio, aunque los investigadores de seguridad han demostrado ataques de prueba de concepto.
Actualización acumulativa de BuildMicrosoft Exchange Servidor 2019 afectada Afectada 1515.02.1748.024Microsoft Exchange Server 2019 Actualización acumulativa 1415.02.1544.025Microsoft Intercle
CISA ha proporcionado orientación de remediación específica para las organizaciones afectadas:
Instale las actualizaciones de Hotfix de Microsoft en abril 2025 Exchange Server en servidores de intercambio locales. Siga las instrucciones de configuración de Microsoft para implementar aplicaciones de Exchange Hybrid dedicadas. Revise la orientación del modo de limpieza principal de servicio de Microsoft para restablecer el servicio principal KeyCredentials. Ejecute el verificador de salud de Microsoft Exchange para determinar si se requieren pasos adicionales.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
