Agencias gubernamentales internacionales alertan sobre la urgencia de aplicar parches y medidas de mitigación ante el riesgo de ataques. Existe el riesgo que actores de amenaza puedan tomar control de dominios completos en entornos híbridos de Microsoft Exchange.
Más de 29 mil servidores Microsoft Exchange conectados a internet permanecen sin parchear frente a una vulnerabilidad catalogada como de alta gravedad, capaz de permitir que atacantes tomen control total de dominios en entornos híbridos que combinan infraestructura local y nube.
El fallo, identificado como CVE-2025-53786 y del cual informáramos la semana pasada en nuestro blog, afecta a Exchange Server 2016, Exchange Server 2019 y a la versión por suscripción de Microsoft Exchange Server. Según los especialistas, la explotación es posible cuando un atacante obtiene privilegios administrativos en un servidor local y logra escalar esos permisos en entornos de Microsoft 365, falsificando tokens de confianza o manipulando llamadas API, todo sin dejar rastros evidentes.
Hay coincidencia entre los especialistas sobre la gravedad de la vulnerabilidad, la cual no se mitiga con la simple instalación del parche, ya que es necesario rotar los tokens de confianza comprometidos.
Datos de la plataforma de monitoreo Shadowserver, recopilados este martes 11 de agosto, revelan que todavía alrededor de 29 mil servidores expuestos, la mayoría de ellos concentrados en Estados los Unidos (7.001), Alemania (6.475) y Rusia (2.364), seguidas por Francia, Reino Unido, Austria y Canadá.
La vulnerabilidad fue divulgada públicamente la semana pasada, aunque Microsoft ya había emitido un hotfix en abril de 2025, en el marco de su iniciativa Secure Future Initiative. Este cambio sustituyó el modelo anterior de identidad compartida -considerado inseguro- por una aplicación híbrida dedicada en Microsoft Entra ID.
Si bien la compañía no ha detectado evidencias de explotación activa, ha clasificado el fallo como de “explotación más probable” debido a que el desarrollo de código de ataque fiable es factible y podría atraer rápidamente a cibercriminales.
En los Estados Unidos, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) emitió la Directiva de Emergencia 25-02, que obligaba a todas las agencias del gobierno federal de ese país a mitigar la falla antes de las 09:00 horas del Este, del pasado lunes 11 de agosto.
Las medidas de CISA incluían inventariar entornos Exchange con el script Health Checker de Microsoft; desconectar servidores públicos no compatibles con el hotfix de abril, y actualizar a las versiones más recientes (CU14 o CU15 para Exchange 2019, CU23 para Exchange 2016) aplicando además el parche de abril.
Aunque la directiva era obligatoria solo para entidades federales, CISA enfatizó que todas las organizaciones deberían seguir los mismos pasos.
En América Latina, México figuraba este martes como el país con la mayor cantidad de instancias de Exchange expuestas, con 138 servidores vulnerables. En la zona de Centro América y el Caribe, solo República Dominicana superaba la decena de servidores con un total de 15.
En el caso de Sudamérica, Brasil concentraba la mayor cantidad de servidores expuestos con un total de 79, seguido de Argentina con 41, Perú con 38, Colombia y Venezuela, ambos con 22, Uruguay con 19, Chile con 17, Bolivia con 14, Paraguay con 12 y Ecuador con 7. De acuerdo a Shadow Server, todos los casos de nuestro país se concentraban en la Región Metropolitana de Santiago.
Expertos en ciberseguridad advierten que, dada la cantidad de sistemas aún expuestos y la dificultad de detectar intrusiones, cualquier retraso en las acciones de mitigación podría facilitar que la vulnerabilidad sea utilizada en ataques a gran escala.