Recentment s’ha descobert una vulnerabilitat d’alta criticitat (CVE‑2025‑53786) que afecta desplegaments híbrids de Microsoft Exchange Server. Un actor amb privilegis administratius en el servidor local podria escalar privilegis en l’entorn en el núvol (Exchange en línia), sense deixar rastres fàcilment detectables.
La fallada residix en l’ús compartit del servici principal (service principal) entre el servidor Exchange local i Exchange en línia, la qual cosa permet a un atacant amb permisos administratius en el servidor on‑premises manipular testimonis d’autenticació (tokens) o les anomenades API, enganyant l’entorn en el núvol que confia implícitament en el servidor local.
Microsoft ha qualificat la situació com d’alta gravetat i ha publicat un hotfix d’abril de 2025 a més de recomanacions específiques com el desplegament d’una app híbrida dedicada a la neteja del servici principal (mode “Service Principal Clean‑Up”), i l’ús del Health Checker d’Exchange
CISA, per l seua part, ha emés una alerta en què insta organitzacions a implementar estes mesures sense demora, i advertix que la vulnerabilitat podria comprometre la integritat de la identitat en Exchange en línia i portar a un “compromís total del domini híbrid i local”. A més, recomana desconnectar d’Internet els servidors Exchange o SharePoint que hagen arribat a la fi de la seua vida útil o ja no hi donen servici.
Encara que no s’han reportat casos d’explotació fins a la data, CISA considera que “l’explotació és molt probable”, donada l’existència de condicions per a realitzar explotadors (exploits).
Recursos afectats
- Microsoft Exchange Server 2016 (entorns híbrids)
- Microsoft Exchange Server 2019 (entorns híbrids)
- Microsoft Exchange Server Subscription Edition (versions inicials que integren funcionalitats híbrides)
- Servicis relacionats amb Exchange en línia i infraestructures híbrides d’autenticació.
Recomanacions
Per a mitigar el risc, es recomana aplicar les mesures següents:
- Revisar i aplicar les directrius publicades en l’anunci de Microsoft, del 18 d’abril de 2025, sobre seguretat en desplegaments híbrids.
- Instal·lar el hotfix d’abril de 2025 (o posterior) en tots els servidors Exchange on‑premises.
- Desplegar l’aplicació híbrida dedicada (dedicated hybrid app) segons les instruccions oficials.
- Si ja no utilitzes l’entorn híbrid o OAuth entre Exchange local i Exchange en línia, executa el procés de «Service Principal Clean‑Up» per a restablir les keyCredentials.
- Executar el Microsoft Exchange Health Checker després d’aplicar les mesures per a verificar l’estat de l’entorn.
- Desconnectar servidors Exchange i SharePoint que ja no reben suport oficial o estiguen a la fi de vida (EOL/EOS) d’accés públic a Internet.
- Considerar la migració a Exchange en línia o l’actualització a Exchange Server Subscription Edition per a entorns heretats en suport limitat.
Referències