Mais de 29.000 servidores Microsoft Exchange expostos à Internet permaneceram sem correção contra uma vulnerabilidade de alta gravidade que pode permitir que invasores assumam o controle de domínios inteiros em ambientes de nuvem híbrida.
A falha, rastreado como CVE-2025-53786, afeta o Exchange Server 2016, o Exchange Server 2019 e o Microsoft Exchange Server Subscription Edition. Ele permite que invasores com acesso administrativo a servidores Exchange locais escalem privilégios em ambientes conectados do Microsoft 365 forjando tokens confiáveis ou chamadas de API, um método que deixa poucos rastros.
“Esta é uma vulnerabilidade séria no Exchange e as equipes de segurança devem dar atenção imediata”, disse Thomas Richards, diretor de prática de segurança de infraestrutura da Black Duck.
“Corrigir o servidor não é suficiente e, como é difícil detectar comprometimento, a Microsoft forneceu ações para as equipes tomarem para garantir que todos os tokens de confiança comprometidos sejam girados.”
Varreduras recentes pelo grupo de monitoramento de ameaças Shadowserver encontrou 29.098 servidores vulneráveis em todo o mundo. Os números mais significativos estão em:
-
EUA: 7296
-
Alemanha: 6682
-
Rússia: 2513
-
França: 1558
-
Reino Unido: 955
-
Áustria: 928
-
Canadá: 860
A Microsoft divulgou a falha na semana passada, embora um hotfix tenha sido lançado em abril de 2025 sob sua Secure Future Initiative. Essa atualização substituiu o modelo de identidade compartilhada inseguro usado entre os serviços locais e na nuvem do Exchange por um aplicativo híbrido dedicado na ID do Microsoft Entra.
A empresa não encontrou evidências de exploração ativa até agora, mas alertou que um código de ataque confiável pode ser desenvolvido.
CISA ordena ação federal urgente
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu Diretiva de Emergência 25-02 na semana passada, ordenando que todas as agências do Poder Executivo Civil Federal mitigassem a falha até as 9h00 EDT de 11 de agosto.
“Essa vulnerabilidade representa um grave risco para todas as organizações que operam configurações de ingresso híbrido do Microsoft Exchange que ainda não seguiram a orientação de patch de abril de 2025, e a mitigação imediata é crítica”, disse a CISA.
As agências devem:
-
Inventariar seus ambientes Exchange usando o script do Verificador de Integridade da Microsoft
-
Desconecte todos os servidores voltados para o público não compatíveis com o hotfix de abril de 2025, incluindo versões em fim de vida útil
-
Aplique as atualizações cumulativas mais recentes (CU14 ou CU15 para Exchange 2019, CU23 para Exchange 2016) e instale o hotfix de abril de 2025
“Em ambientes modernos de TI híbrida, muitas vezes pode haver caminhos ocultos para privilégios abertos por contas de serviço muitas vezes esquecidas”, explicou James Maude, CTO de campo da BeyondTrust.
“Ter visibilidade do verdadeiro privilégio de todas as identidades, humanas e não humanas, é de importância cada vez maior à medida que os NHIs, incluindo a IA, superam rapidamente as identidades humanas em escala e privilégio.”
Riscos além dos sistemas governamentais
Embora a diretiva seja vinculativa apenas para agências federais, a CISA instou todas as organizações a seguirem o mesmo processo. Especialistas em segurança também pediram cautela.
“Para reduzir os riscos associados a identidades não humanas, as equipes de segurança precisam implementar práticas modernas de gerenciamento de identidade, governança forte e controles de segurança proativos”, disse Elad Luz, chefe de pesquisa da Oasis Security.
Com milhares de servidores ainda expostos poucas horas antes do prazo final do governo, especialistas alertam que a falha pode ser armada rapidamente se a correção e as medidas de segurança forem adiadas.
Crédito da imagem: gguy / Shutterstock.com