Microsoft ha publicado un aviso para un defecto de seguridad de reincorporación severidad que afecta las versiones locales de Exchange Server que podría permitir que un atacante obtenga privilegios elevados bajo ciertas condiciones.
La vulnerabilidad, rastreada como CVE-2025-53786lleva una puntuación CVSS de 8.0. Dirk-Jan Mollema con Security Outsider ha sido obligado por informar el error.
“En una implementación híbrida de Exchange, un atacante que primero apetencia entrada oficinista a un servidor de Exchange en las instalaciones podría potencialmente aumentar los privilegios internamente del entorno de la cúmulo conectado de la ordenamiento sin dejar rastros fácilmente detectables y auditables”, dijo el superhombre tecnológico en la alerta.
“Este aventura surge porque Exchange Server y Exchange Online comparten el mismo principal de servicio en configuraciones híbridas”.
La explotación exitosa de la defecto podría permitir que un atacante intensifique los privilegios internamente del entorno de cúmulo conectado de la ordenamiento sin dejar rastros fácilmente detectables y auditables, agregó la compañía. Sin secuestro, el ataque depende del actor de amenaza que ya tiene entrada al administrador a un servidor de Exchange.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), en un boletín propio, dijo que la vulnerabilidad podría afectar la integridad de identidad del servicio en segmento de intercambio de una ordenamiento si se deja sin parpadear.
Como mitigaciones, se recomienda a los clientes revisar los cambios de seguridad del servidor Exchange para las implementaciones híbridas, instalar la posibilidad caliente (o más nueva) de abril de 2025 y seguir las instrucciones de configuración.
“Si ha configurado previamente la autenticación de Exchange Hybrid u Oauth entre Exchange Server y su ordenamiento en segmento de Exchange, pero ya no la usa, asegúrese de restablecer las KeyCredentials de KeyCredels del Principal del Servicio”, dijo Microsoft.
El ampliación se produce cuando el fabricante de Windows dijo que comenzará a encerrar temporalmente el tráfico de servicios web de Exchange (EWS) utilizando el principal servicio compartido en segmento de Exchange a partir de este mes en un esfuerzo por aumentar la acogida del cliente de la aplicación Hybrid Exchange dedicada y mejorar la postura de seguridad del entorno híbrido.
El aviso de Microsoft para CVE-2025-53786 asimismo coincide con el examen de CISA de varios artefactos maliciosos desplegados posteriormente de la explotación de fallas de SharePoint recientemente reveladas, rastreados colectivamente como Shell de herramientas.
Esto incluye dos binarios de DLL codificados Base64 y cuatro archivos activos de la página del servidor activo (ASPX) que están diseñados para recuperar la configuración de la secreto de la máquina internamente de la configuración de una aplicación ASP.NET y actúan como un shell web para ejecutar comandos y cargar archivos.
“Los actores de amenaza cibernética podrían exprimir este malware para robar claves criptográficas y ejecutar un comando PowerShell codificado por Base64 para hacer huellas dactilares y exfiltrar datos”, dijo la agencia.
CISA asimismo insta a las entidades a desconectar las versiones públicas de Exchange Server o SharePoint Server que han ajustado su fin de vida (EOL) o de fin de servicio de Internet, sin mencionar que descontinúan el uso de versiones obsoletas.
