Microsoft ha publicado un aviso para los defectos de seguridad de alta resistencia que afectan las versiones locales de Exchange Server, lo que permite a los atacantes obtener mayores privilegios bajo ciertas condiciones.
El puntaje CVSS para vulnerabilidades rastreado como CVE-2025-53786 es 8.0. Molema de Dirk-Jan con seguridad externa ha sido reconocida por informar un error.
«En un despliegue híbrido de reemplazo, el atacante que primero obtuvo acceso administrativo a un servidor de Exchange local podría potencialmente aumentar los privilegios dentro del entorno de nube conectado de una organización sin dejar rastros de fácilmente detectables y auditables».
«Este riesgo surge porque Exchange Server y Exchange Online comparten el mismo principal de servicio en una configuración híbrida».
La explotación exitosa de los defectos permite a los atacantes aumentar los privilegios dentro del entorno de nube conectado de una organización sin dejar trazas que se pueden detectar y auditarse fácilmente, agregó la compañía. Sin embargo, el ataque está en los actores de amenaza cuyos administradores están accediendo a Exchange Server.
En su propio boletín, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) dijo que las vulnerabilidades podrían afectar la integridad de la identidad del servicio en línea de intercambio de la organización si se dejan sin reconocer.
Como mitigación, los clientes deben verificar los cambios de seguridad del servidor Exchange en las implementaciones híbridas, instalar la solución caliente (o nueva) de abril de 2025 y seguir las instrucciones de configuración.
«Si configuró la autenticación de Exchange Hybrid u Oauth entre su Exchange Hybrid o Exchange Server y su organización en línea de Exchange, pero ya no lo usa, restablezca las Crecedenciales KeyCredents del Principal del Servicio», dijo Microsoft.
Desarrollo dijo que Windows Maker comenzará a bloquear temporalmente el tráfico de servicios web de Exchange (EWS) utilizando los directores de servicios compartidos en línea Exchange, por lo que se esforzará por aumentar el reclutamiento de clientes para aplicaciones híbridas de Exchange dedicadas y mejorar la actitud de seguridad de los entornos híbridos.
El aviso de Microsoft a CVE-2025-53786 también es consistente con el análisis de CISA de varios artefactos maliciosos que se han desplegado después de la explotación de fallas de SharePoint recientemente reveladas que se rastrearon colectivamente como una cáscara de herramientas.
Contiene dos binarios DLL codificados Base64 y cuatro archivos de extensión de la página del servidor Active (ASPX) diseñados para recuperar la configuración de la tecla de la máquina dentro de la configuración de una aplicación ASP.NET, actuando como un shell web para ejecutar comandos y cargar archivos.
«Los actores cibernéticos pueden aprovechar este malware para robar claves de cifrado y ejecutar los comandos de PowerShell codificados con Base64 para hacer huellas digitales y eliminar datos», dijo la agencia.
Además, CISA insta a las entidades a desconectar las versiones de colgajo público de Exchange o SharePoint Server que han alcanzado el final de la vida (EOL) o la terminación del servicio de Internet, sin mencionar que descontinuar el uso de versiones más antiguas.
Source link
