La vulnerabilidad CVE-2025-53786 permite a los atacantes escalar privilegios en Exchange Online desde un servidor local comprometido. La Agencia de Ciberseguridad de los Estados Unidos (CISA) advierte sobre el riesgo de un «compromiso total del dominio» si no se aplican las mitigaciones.
Microsoft advirtió este miércoles sobre una peligrosa vulnerabilidad que afecta las implementaciones híbridas de Exchange Server. Identificada como CVE-2025-53786, esta falla de alta gravedad permite que un atacante que haya logrado acceso administrativo a un servidor Exchange local pueda escalar privilegios dentro del entorno Exchange Online, lo que comprometería tanto sistemas locales como servicios en la nube.
La arquitectura híbrida de Exchange, común en entornos empresariales, está diseñada para integrar sin fricciones las funcionalidades de correo electrónico y calendario entre servidores on-premises y Exchange Online. No obstante, esta integración se basa en una identidad compartida entre ambos entornos -el llamado service principal- que puede ser manipulada por actores maliciosos.
“Un atacante que obtenga acceso administrativo a un servidor Exchange local podría escalar privilegios en el entorno en la nube sin dejar rastros fácilmente auditables”, advirtió Microsoft en su boletín de seguridad. La empresa explicó que las acciones iniciadas desde servidores on-premises no siempre generan logs en las herramientas de auditoría de Microsoft 365 como Purview o los registros de actividad del M365, lo que complica la detección del ataque.
La vulnerabilidad afecta a las versiones Exchange Server 2016, 2019 y la Subscription Edition, y aunque no se ha detectado explotación activa en el entorno real, Microsoft la ha clasificado como «Exploitation More Likely» (explotación más probable), ya que existe un alto potencial para el desarrollo de código de explotación confiable.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) también emitió una alerta paralela, destacando que, si no se aplican las mitigaciones, la falla “podría llevar a un compromiso total del dominio híbrido y local”.
Entre las recomendaciones clave para mitigar el riesgo, tanto Microsoft como CISA recomiendan:
- Aplicar las actualizaciones de seguridad de abril de 2025 en los servidores Exchange locales.
- Implementar la aplicación híbrida dedicada de Exchange, que separa los permisos de autenticación entre entornos.
- Ejecutar el Microsoft Exchange Health Checker, para detectar configuraciones inadecuadas o pasos adicionales requeridos.
- Revisar y restablecer los keyCredentials del service principal, especialmente si la organización dejó de utilizar Exchange híbrido, pero no limpió la configuración anterior.
Adicionalmente, CISA instó a desconectar de internet los servidores Exchange y SharePoint que hayan alcanzado su fin de vida útil, como Exchange 2013 o SharePoint Server 2013, debido al riesgo que suponen para la seguridad general de las organizaciones.
Este nuevo hallazgo se suma al historial de vulnerabilidades críticas que han afectado a Exchange en los últimos años, como los casos de ProxyLogon y ProxyShell, que fueron aprovechados por grupos de amenazas persistentes avanzadas, incluido el grupo chino Hafnium.
Ante este contexto, Microsoft también recordó que Exchange 2016 y 2019 llegarán al final de su soporte extendido en octubre de 2025, por lo que recomienda migrar a Exchange Online o actualizar a la versión por suscripción (SE).