A Microsoft alertou os clientes para mitigar uma vulnerabilidade de alta gravidade nas implantações híbridas do Exchange Server que pode permitir que os invasores aumentem seus privilégios em ambientes de nuvem do Exchange Online sem deixar rastros.
As configurações híbridas do Exchange conectam servidores Exchange locais ao Exchange Online (parte do Microsoft 365), permitindo a integração perfeita de recursos de email e calendário entre caixas de correio locais e na nuvem, incluindo calendários compartilhados, listas de endereços globais e fluxo de emails.
No entanto, em implantações híbridas do Exchange, o Exchange Server local e o Exchange Online também compartilham a mesma entidade de serviço, que é uma identidade compartilhada usada para autenticação entre os dois ambientes.
Ao abusar dessa identidade compartilhada, os invasores que controlam o Exchange local podem forjar ou manipular tokens confiáveis ou chamadas de API que o lado da nuvem aceitará como legítimos, pois confia implicitamente no servidor local.
Além disso, as ações originadas do Exchange local nem sempre geram logs associados a comportamentos mal-intencionados no Microsoft 365; portanto, a auditoria tradicional baseada em nuvem (como logs de auditoria do Microsoft Purview ou M365) pode não capturar violações de segurança se elas forem originadas localmente.
“Em uma implantação híbrida do Exchange, um invasor que primeiro obtém acesso administrativo a um servidor Exchange local pode potencialmente escalar privilégios no ambiente de nuvem conectado da organização sem deixar rastros facilmente detectáveis e auditáveis”, Microsoft dito na quarta-feira em um comunicado de segurança descrevendo uma vulnerabilidade de escalonamento de privilégios de alta gravidade agora rastreada como CVE-2025-53786.
A vulnerabilidade afeta o Exchange Server 2016 e o Exchange Server 2019, bem como o Microsoft Exchange Server Subscription Edition, a versão mais recente, que substitui o modelo tradicional de licença perpétua por um baseado em assinatura.
Embora a Microsoft ainda não tenha observado a exploração em estado selvagem, a empresa a classificou como “Exploração mais provável” porque sua análise revelou que o código de exploração poderia ser desenvolvido para explorar consistentemente essa vulnerabilidade, aumentando sua atratividade para os invasores.
CISA emitiu um comunicado separado abordando esse problema e aconselhando os defensores da rede que desejam proteger suas implantações híbridas do Exchange contra possíveis ataques direcionados à falha CVE-2025-53786:
- Instale o Microsoft Atualizações de hotfix do Exchange Server de abril de 2025 no servidor Exchange local e siga as instruções de configuração da Microsoft Implantar aplicativo híbrido dedicado do Exchange.
- Para organizações que usam o Exchange híbrido (ou configuraram anteriormente o Exchange híbrido, mas não o usam mais), revise o Modo de limpeza da entidade de serviço para obter diretrizes sobre como redefinir as keyCredentials da entidade de serviço.
- Após a conclusão, execute o comando Verificador de integridade do Microsoft Exchange para determinar se são necessárias outras etapas.
A CISA pediu aos administradores que desconectem os servidores voltados para o público que executam versões de fim de vida útil (EOL) ou fim de serviço do Exchange Server ou SharePoint Server da Internet.
Em janeiro, a Microsoft também administradores lembrados que o Exchange 2016 e o Exchange 2019 chegarão ao fim do suporte estendido em outubro e compartilharam orientações para aqueles que precisam desativar servidores desatualizados, aconselhando-os a migrar para o Exchange Online ou atualizar para o Exchange Server Subscription Edition (SE).
Nos últimos anos, hackers com motivação financeira e patrocinados pelo Estado exploraram várias vulnerabilidades de segurança do Exchange, incluindo Logon de Proxy e ProxyShell zero-days, para violar servidores.
Por exemplo pelo menos dez grupos de hackers explorou o ProxyLogon em março de 2021, incluindo um grupo de ameaças patrocinado pela China rastreado como Hafnium ou Silk Typhoon.
Há dois anos, em janeiro de 2023, a Microsoft também instou os clientes a aplicar a atualização cumulativa () mais recente e manter seus servidores Exchange locais atualizados para garantir que eles estejam sempre prontos para implantar atualizações de segurança de emergência.
