Vulnerabilidad Alta en Microsoft Exchange Server 2016, 2019 y RTM (Nube y On-Premise)

El 6 de agosto de 2025, Microsoft emitió un aviso oficial en el que alertó sobre la potencial explotación de una vulnerabilidad de alta severidad que afecta implementaciones híbridas de Microsoft Exchange Server. 

 

Microsoft Exchange es una plataforma de correo electrónico utilizada principalmente en entornos profesionales y educativos. Las cuentas de Exchange son gestionadas mediante Microsoft Exchange Server o a través de Microsoft 365, que también se basa en Microsoft Exchange Server para ofrecer servicios de correo electrónico.  

 

Una implementación híbrida de Microsoft Exchange Server permite a las organizaciones extender el control administrativo de su entorno local de Microsoft Exchange hacia la nube integrando Exchange local y Exchange Online como una única organización unificada.  

 

La vulnerabilidad identificada como CVE-2025-53786, con una clasificación de 8.0 en la escala CVSS, permite a atacantes que cuentan con acceso administrativo escalar privilegios dentro del entorno en la nube de Microsoft Exchange Server para realizar acciones no autorizadas. Dada la naturaleza de las implementaciones híbridas, esta vulnerabilidad representa un riesgo considerable para las organizaciones, ya que podría comprometer la integridad de la identidad del servicio Exchange Online, afectando potencialmente todo el entorno de correo electrónico corporativo. 

 

Las versiones locales de Exchange Server utilizan certificados como credenciales para autenticarse ante Exchange Online y habilitar el uso de OAuth en entornos híbridos. Estos certificados permiten solicitar tokens de servicio a servicio (S2S) al Servicio de Control de Acceso (ACS) de Microsoft, los cuales pueden conceder acceso sin restricciones a Exchange Online y SharePoint. Además de que no dejan rastro al emitirse, los tokens pueden emplearse para suplantar la identidad de cualquier usuario híbrido durante hasta 24 horas, siempre que la propiedad TrustedForDelegation esté habilitada. Como medida de mitigación, Microsoft tiene previsto, para octubre del 2025, separar las entidades de servicio utilizadas por Exchange local y Exchange Online. 

 

Adicionalmente, Microsoft comentó que a partir de agosto del 2025 comenzará a bloquear temporalmente el tráfico de Exchange Web Services (EWS) que utilice la entidad de servicio compartida de Exchange Online,  buscando asi impulsar la adopción de la aplicación híbrida de Exchange Online por parte de los usuarios y fortalecer la postura de seguridad en entornos híbridos. 

Versiones Afectadas

 

Versiones afectadas	Versiones parcheadas
Microsoft Exchange Server 2016 Cumulative Update 23 versiones anteriores a la 15.01.2507.055	April 2025 Exchange Server Hotfix o posteriores
Microsoft Exchange Server 2019 Cumulative Update 14 versiones anteriores a la 15.02.1544.025	April 2025 Exchange Server Hotfix o posteriores
Microsoft Exchange Server 2019 Cumulative Update 15 versiones anteriores a la 15.02.1748.024	April 2025 Exchange Server Hotfix o posteriores
Microsoft Exchange Server Subscription Edition RTM versiones anteriores a la 15.02.2562.017	April 2025 Exchange Server Hotfix o posteriores

Recomendaciones

• Si cuenta con alguna versión Microsoft Exchange Server de las siguientes: 
  • Actualice Microsoft Exchange Server 2016 Cumulative Update 23 versiones anteriores a la 15.01.2507.055 instalando el April 2025 Exchange Server Hotfix o posteriores. 
  • Actualice Microsoft Exchange Server 2019 Cumulative Update 14 versiones anteriores a la 15.02.1544.025 instalando el April 2025 Exchange Server Hotfix o posteriores. 
  • Actualice Microsoft Exchange Server 2019 Cumulative Update 15 versiones anteriores a la 15.02.1748.024 instalando el April 2025 Exchange Server Hotfix o posteriores. 
  • Actualice Microsoft Exchange Server Subscription Edition RTM versiones anteriores a la 15.02.2562.017 instalando el April 2025 Exchange Server Hotfix o posteriores. 

• Seguir las instrucciones de configuración de Microsoft para implementar la aplicación híbrida de Exchange dedicada.   

• Revisar el modo de limpieza de la entidad de servicio de Microsoft para obtener instrucciones sobre cómo restablecer las credenciales de clave de la entidad de servicio incluso si ha configurado Exchange hibrido y ya no lo usa.   

• Ejecutar el comprobador de estado de Microsoft Exchange para determinar si se requieren más pasos.   

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para detectar ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Microsoft. (2025, Agosto 6). Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability.  Recuperado el 7 de Agosto de 2025, en: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786  
2. Microsoft (2025, Agosto 6). Elevation of Privilege Vulnerability in Microsoft Exchange Server. Recuperado el 7 de Agosto de 2025, en: https://securityvulnerability.io/vulnerability/CVE-2025-53786  
3. America´s Cyber Defense Agency. (2025, Agosto 6). Microsoft Releases Guidance on High-Severity Vulnerability (CVE-2025-53786) in Hybrid Exchange Deployments. Recuperado el 7 de Agosto de 2025, en: https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments  
4. Lakshmanan, R. (2025, Agosto 6). Microsoft revela una falla en Exchange Server que permite el acceso silencioso a la nube en configuraciones híbridas. The Hacker News. Recuperado el 7 de Agosto de 2025, en: https://thehackernews-com.translate.goog/2025/08/microsoft-discloses-exchange-server.html  
5. Kovacs, E. (2025, Agosto 6). Organizations Warned of Vulnerability in Microsoft Exchange Hybrid Deployment. Security Week. Recuperado el 7 de Agosto de 2025, en: https://www.securityweek.com/organizations-warned-of-vulnerability-in-microsoft-exchange-hybrid-deployment/  
6. Microsoft. (2023, Octubre 24). Exchange Server hybrid deployments. Recuperado el 7 de Agosto de 2025, en: https://learn.microsoft.com/en-us/exchange/exchange-hybrid  

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios