Microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) han emitido una advertencia conjunta sobre una vulnerabilidad crítica que afecta a las implementaciones híbridas de Microsoft Exchange Server, lo que podría permitir a los atacantes escalar privilegios dentro de entornos en la nube conectados.

Identificada como CVE-2025-53786, esta falla fue reportada por el investigador Dirk-jan Mollema, de Outsider Security, y representa un riesgo especialmente alto para las organizaciones que integran servidores Exchange locales con Exchange Online, una configuración común en entornos híbridos empresariales.

¿En qué consiste la vulnerabilidad?

Microsoft explicó que esta vulnerabilidad puede ser aprovechada por un atacante que primero obtenga acceso administrativo a un servidor de Exchange en las instalaciones (on-premises). A partir de ahí, el actor malicioso podría escalar sus privilegios dentro del entorno en la nube asociado, es decir, en Exchange Online, sin generar rastros evidentes o fáciles de auditar.

Este riesgo proviene de una característica técnica de las configuraciones híbridas: Exchange Server y Exchange Online comparten el mismo service principal (identidad de servicio). Esta relación de confianza entre ambos entornos permite ciertas funciones de coexistencia, pero también abre la puerta a movimientos laterales dentro del entorno híbrido en caso de una brecha.

Parche disponible y recomendaciones

Microsoft ya ha lanzado parches de seguridad para mitigar esta vulnerabilidad en las siguientes versiones compatibles:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (RTM)

Aunque la compañía indicó que aún no se han detectado ataques activos que exploten esta vulnerabilidad en entornos reales, su evaluación de riesgo la clasifica como “explotación más probable”, lo que significa que podría ser explotada pronto si no se aplican las correcciones pertinentes.

Por su parte, CISA también ha emitido una alerta oficial, instando a las organizaciones a implementar de inmediato los parches y medidas de mitigación disponibles, para evitar un posible compromiso total del dominio híbrido, que afectaría tanto a los sistemas locales como a los servicios en la nube.

Cambios estratégicos en Exchange híbrido

Además del aviso de seguridad, Microsoft también aprovechó para recordar a los usuarios sobre cambios importantes que se implementarán próximamente en los entornos híbridos de Exchange. A partir de agosto de 2025, se comenzará a bloquear temporalmente el tráfico de Exchange Web Services (EWS) que utilice el service principal compartido en Exchange Online, el cual es utilizado por defecto por algunas funciones de coexistencia híbrida.

Este cambio forma parte de una estrategia por fases cuyo objetivo es acelerar la adopción del nuevo Exchange Hybrid Agent dedicado, promoviendo así una arquitectura más segura y segmentada para los entornos empresariales.

Contexto y precedentes

Exchange Server ha sido un objetivo frecuente para los atacantes en los últimos años. Según el catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de CISA, se han documentado al menos 17 fallas en Exchange que han sido explotadas activamente desde 2018.

Los atacantes suelen enfocarse en Exchange debido a su papel crítico en la infraestructura de TI empresarial y su capacidad para ofrecer acceso privilegiado a correos electrónicos, contactos, calendarios y credenciales de autenticación.

Esta nueva vulnerabilidad refuerza la importancia de mantener actualizados todos los sistemas, especialmente en entornos híbridos donde la combinación de sistemas locales y servicios en la nube puede generar vectores de ataque difíciles de monitorear si no se gestionan adecuadamente.

Recomendaciones clave

Para reducir el riesgo de explotación de CVE-2025-53786, se recomienda a las organizaciones que:

• Apliquen inmediatamente los parches de seguridad provistos por Microsoft.
• Auditen la configuración de sus entornos híbridos, incluyendo el uso del service principal compartido.
• Adopten el Exchange Hybrid Agent dedicado como parte de las mejores prácticas recomendadas por Microsoft.
• Monitoreen activamente los registros de actividad y permisos en la nube, especialmente aquellos vinculados a servicios de autenticación y administración.

Conclusión

La vulnerabilidad CVE-2025-53786 es un recordatorio de los desafíos crecientes que enfrentan las organizaciones que utilizan entornos híbridos. Aunque estos modelos ofrecen flexibilidad y continuidad operativa, también introducen complejidades que pueden ser aprovechadas por actores maliciosos si no se abordan con las medidas de seguridad adecuadas.

Mantener una estrategia de ciberseguridad proactiva, con actualizaciones constantes, monitoreo avanzado y separación de identidades entre entornos locales y en la nube, es fundamental para proteger la integridad de la infraestructura tecnológica.

Fuente: https://www.securityweek.com/organizations-warned-of-vulnerability-in-microsoft-exchange-hybrid-deployment