Recientemente se ha descubierto una vulnerabilidad de alta criticidad (CVE‑2025‑53786) que afecta despliegues híbridos de Microsoft Exchange Server. Un actor con privilegios administrativos en el servidor local podría escalar privilegios en el entorno en la nube (Exchange Online) sin dejar rastros fácilmente detectables.
El fallo reside en el uso compartido del servicio principal (“service principal”) entre el servidor Exchange local y Exchange Online, lo que permite a un atacante con permisos administrativos en el servidor on‑premises manipular tokens de autenticación o llamadas API, engañando al entorno en la nube que confía implícitamente en el servidor local
Microsoft ha calificado la situación como de alta gravedad y ha publicado un hotfix de abril de 2025 además de recomendaciones específicas como el despliegue de una app híbrida dedicada a la limpieza del servicio principal (modo “Service Principal Clean‑Up”), y el uso del Health Checker de Exchange
CISA, por su parte, ha emitido una alerta instando a organizaciones a implementar estas medidas sin demora, advirtiendo que la vulnerabilidad podría comprometer la integridad de la identidad en Exchange Online y llevar a un “compromiso total del dominio híbrido y local” . Además, recomienda desconectar de Internet los servidores Exchange o SharePoint que hayan llegado al fin de su vida útil o ya no den servicio.
Aunque no se han reportado casos de explotación hasta la fecha, CISA considera que “la explotación es muy probable” dada la existencia de condiciones para desarrollar exploits .
Recursos Afectados
- Microsoft Exchange Server 2016 (entornos híbridos)
- Microsoft Exchange Server 2019 (entornos híbridos)
- Microsoft Exchange Server Subscription Edition (versiones iniciales que integran funcionalidades híbridas)
- Servicios relacionados con Exchange Online e infraestructuras híbridas de autenticación
Recomendaciones
Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:
- Revisar y aplicar las directrices publicadas en el anuncio de Microsoft del 18 de abril de 2025 sobre seguridad en despliegues híbridos.
- Instalar el hotfix de abril de 2025 (o posterior) en todos los servidores Exchange on‑premises.
- Desplegar la aplicación híbrida dedicada (“dedicated hybrid app”) según las instrucciones oficiales.
- Si ya no utilizas el entorno híbrido o OAuth entre Exchange local y Exchange Online, ejecutar el proceso de «Service Principal Clean‑Up» para restablecer las keyCredentials.
- Ejecutar el Microsoft Exchange Health Checker tras aplicar las medidas para verificar el estado del entorno.
- Desconectar servidores Exchange y SharePoint que ya no reciban soporte oficial o estén en fin de vida (EOL/EOS) de acceso público a Internet.
- Considerar la migración a Exchange Online o la actualización a Exchange Server Subscription Edition para entornos heredados en soporte limitado
Referencias