Ciberseguridad 360 | Vulnerabilidad en Exchange Server permite el acceso a la nube

Microsoft ha publicado un aviso sobre una vulnerabilidad de seguridad de alta gravedad que afecta a las versiones locales de Exchange Server y que podr�a permitir a un atacante obtener privilegios elevados en determinadas condiciones.

La vulnerabilidad, identificada como CVE-2025-53786, tiene una puntuaci�n CVSS de 8,0. Dirk-jan Mollema, de Outsider Security, ha sido reconocido por informar del error.

"En una implementaci�n h�brida de Exchange, un atacante que primero obtenga acceso administrativo a un servidor Exchange local podr�a escalar privilegios dentro del entorno de nube conectado de la organizaci�n sin dejar rastros f�cilmente detectables y auditables", afirm� el gigante tecnol�gico en la alerta.

"Este riesgo surge porque Exchange Server y Exchange Online comparten la misma entidad de servicio en configuraciones h�bridas".

La explotaci�n exitosa de la falla podr�a permitir a un atacante escalar privilegios dentro del entorno de nube conectado de la organizaci�n sin dejar rastros f�cilmente detectables y auditables, agreg� la empresa. Sin embargo, el ataque depende de que el actor malicioso ya tenga acceso de administrador a un servidor Exchange.

La Agencia de Seguridad Cibern�tica y de Infraestructuras de Estados Unidos (CISA), en un bolet�n propio, afirm� que la vulnerabilidad podr�a afectar a la integridad de la identidad del servicio Exchange Online de una organizaci�n si no se corrige.

Como medidas de mitigaci�n, se recomienda a los clientes que revisen los cambios de seguridad de Exchange Server para implementaciones h�bridas, instalen la revisi�n de abril de 2025 (o una m�s reciente) y sigan las instrucciones de configuraci�n.

"Si anteriormente ha configurado la autenticaci�n h�brida de Exchange o OAuth entre Exchange Server y su organizaci�n de Exchange Online, pero ya no la utiliza, aseg�rese de restablecer las credenciales clave del principal del servicio", afirm� Microsoft.

En una presentaci�n en la conferencia de seguridad Black Hat USA 2025, Mollema afirm� que las versiones locales de Exchange Server tienen una credencial de certificado que se utiliza para autenticarse en Exchange Online y permitir OAuth en escenarios h�bridos.

Estos certificados se pueden aprovechar para solicitar tokens de actor de servicio a servicio (S2S) al Servicio de control de acceso (ACS) de Microsoft, lo que en �ltima instancia proporciona un acceso sin restricciones a Exchange Online y SharePoint sin ning�n acceso condicional ni controles de seguridad.

M�s importante a�n, estos tokens pueden utilizarse para suplantar a cualquier usuario h�brido dentro del inquilino durante un periodo de 24 horas cuando se establece la propiedad "trustedfordelegation", y no dejan ning�n registro cuando se emiten. Como medidas de mitigaci�n, Microsoft tiene previsto imponer la separaci�n obligatoria de los principales de servicio de Exchange local y Exchange Online para octubre de 2025.

Esta medida se produce despu�s de que el fabricante de Windows anunciara que comenzar� a bloquear temporalmente el tr�fico de Exchange Web Services (EWS) utilizando el principal de servicio compartido de Exchange Online a partir de este mes, en un esfuerzo por aumentar la adopci�n por parte de los clientes de la aplicaci�n h�brida dedicada de Exchange y mejorar la postura de seguridad del entorno h�brido.

El aviso de Microsoft sobre CVE-2025-53786 tambi�n coincide con el an�lisis de la CISA sobre varios artefactos maliciosos desplegados tras la explotaci�n de fallos recientemente revelados en SharePoint, rastreados colectivamente como ToolShell.

Esto incluye dos binarios DLL codificados en Base64 y cuatro archivos Active Server Page Extended (ASPX) dise�ados para recuperar la configuraci�n de las claves de m�quina dentro de la configuraci�n de una aplicaci�n ASP.NET y actuar como un shell web para ejecutar comandos y cargar archivos.

"Los ciberdelincuentes podr�an aprovechar este malware para robar claves criptogr�ficas y ejecutar un comando PowerShell codificado en Base64 para obtener la huella digital del sistema host y extraer datos", afirm� la agencia.

La CISA tambi�n insta a las entidades a desconectar de Internet las versiones p�blicas de Exchange Server o SharePoint Server que hayan alcanzado su fin de vida �til (EOL) o fin de servicio, por no hablar de dejar de utilizar versiones obsoletas.

Fuente: thehackernews