Microsoft ha advertido a los clientes sobre una
vulnerabilidad de alta severidad en las implementaciones híbridas de
Exchange Server
que podría permitir a los atacantes aumentar los privilegios en los entornos
de la nube en línea de Exchange sin ser detectados.
En una presentación en la conferencia de seguridad Black Hat USA 2025, su descubridor, Dirk-jan Mollema, dijo que las versiones locales de Exchange Server tienen una credencial de certificado que se utiliza para autenticarse en Exchange en línea y permitir OAuth en escenarios híbridos.
Las configuraciones de Exchange híbrido permiten conectar los servidores de
Exchange On-Premises con Exchange Online (part of Microsoft 365), lo que
permite una integración perfecta de las características de correo electrónico
y calendario entre los buzones en las instalaciones y los buzones en la nube,
incluidos los calendarios compartidos, las listas de direcciones globales y el
flujo de correo.
Sin embargo, en las implementaciones de Exchange Hybrid, el servidor de
Exchange On-Prem y el Exchange Online también comparten el mismo servicio
principal, que es una identidad compartida utilizada para la autenticación
entre los dos entornos.
Al abusar de esta identidad compartida, los atacantes que controlan el
Exchange On-Prem pueden forjar o manipular tokens de confianza o llamadas
API que el lado de la nube aceptará como legítimo, ya que confía
implícitamente en el servidor local.
Además, las acciones originarias de los Exchange locales no siempre
generan registros asociados con el comportamiento malicioso en Microsoft 365.
Por lo tanto, la auditoría tradicional basada en la nube (como Microsoft
Purview o los registros de auditoría M365) puede no detectar violaciones de
seguridad si se originaron en las instalaciones.
«En un despliegue híbrido de Exchange, un atacante que primero obtiene
acceso administrativo a un servidor de Exchange en las instalaciones podría
potencialmente aumentar los privilegios dentro del entorno de la nube
conectado de la organización sin dejar un seguimiento fácil y auditable», dijo Microsoft en un
aviso de seguridad
que describe la vulnerabilidad de escalamiento de privilegios, identificada
como
CVE-2025-53786 (CVSS 8.0)
La vulnerabilidad afecta a Exchange Server 2016 y Exchange Server 2019, así
como a la edición de suscripción de Microsoft Exchange Server, la última
versión, que reemplaza el modelo de licencia perpetua tradicional con uno
basado en suscripción.
Si bien Microsoft aún no ha observado explotación activa, la compañía lo ha
etiquetado como «explotación más probable» porque su análisis reveló se podría
desarrollar un código para explotar constantemente esta vulnerabilidad,
aumentando su atractivo para los atacantes.
«Compromiso total de dominio»
CISA emitió un aviso
separado que aborda este tema y aconsejó lo siguiente:
CISA advirtió que no mitigar esta vulnerabilidad podría conducir
«a una nube híbrida y un compromiso de total del dominio» e instó a los
administradores a desconectar los servidores públicos que ejecutan versiones
al final de la vida al final de la vida (EOL) o al final del servicio de
Exchange Server o SharePoint Server de Internet.
En enero,
Microsoft también recordó
a los administradores que Exchange 2016 y Exchange 2019 alcanzarán su final
del soporte extendido en octubre
y compartieron orientación para aquellos que necesitan desmantelamiento de
servidores obsoletos, aconsejándoles que migraran a Exchange en línea o
actualizar a Exchange Server Subscription Edition (SE).
Fuente:
BC