A CISA emitiu uma diretiva de emergência ordenando que todas as agências do Poder Executivo Civil Federal (FCEB) mitiguem uma vulnerabilidade híbrida crítica do Microsoft Exchange rastreada como CVE-2025-53786 até a manhã de segunda-feira às 9:00 ET.
As agências do Poder Executivo Civil Federal (FCEB) são agências não militares dentro do Poder Executivo dos EUA, incluindo o Departamento de Segurança Interna, o Departamento do Tesouro, o Departamento de Energia e o Departamento de Saúde e Serviços Humanos.
A falha rastreada como CVE-2025-53786 permite que os invasores que obtêm acesso administrativo aos servidores locais do Exchange se movam lateralmente para ambientes de nuvem da Microsoft, potencialmente levando ao comprometimento completo do domínio.
A vulnerabilidade afeta o Microsoft Exchange Server 2016, 2019 e a Subscription Edition.
Em configurações híbridas, Exchange Online e servidores locais compartilham a mesma entidade de serviço, que é uma relação de confiança compartilhada usada para autenticar entre si.
Um invasor com privilégios de administrador em um servidor Exchange local pode forjar ou manipular tokens confiáveis ou chamadas de API que o lado da nuvem aceitará como legítimos. Essa técnica permite que os invasores se espalhem lateralmente da rede local para o ambiente de nuvem da empresa, potencialmente comprometendo todo o diretório ativo e a infraestrutura da empresa.
Para piorar a situação, a Microsoft diz que ferramentas de registro baseadas em nuvem, como o Microsoft Purview, podem não registrar atividades maliciosas se elas se originarem do Exchange local, dificultando a detecção de exploração.
Essa falha vem depois que a Microsoft Orientação divulgada e um Hotfix do servidor Exchange em abril de 2025 para oferecer suporte a uma nova arquitetura que usa um aplicativo híbrido dedicado, em vez do compartilhado, como parte de sua Iniciativa Futuro Seguro.
Ontem, pesquisador de segurança Dirk-Jan Mollema da Outsider Security demonstrou como essa entidade de serviço compartilhada poderia ser explorada em um ataque pós-exploração durante um Apresentação do Black Hat.
O pesquisador disse ao BleepingComputer que relatou a falha três semanas antes da palestra, para avisar a Microsoft com antecedência. Em coordenação com a apresentação, a Microsoft emitiu oCVE-2025-53786 CVE e orientações sobre como mitigá-lo.
“Originalmente, não considerei isso uma vulnerabilidade porque o protocolo usado para esses ataques foi projetado com os recursos abordados durante a palestra e, em geral, carece de controles de segurança importantes”, disse Mollema ao BleepingComputer.
“O relatório descrevendo as possibilidades de invasores foi enviado como um aviso ao MSRC 3 semanas antes da Black Hat e a divulgação foi coordenada com eles. Além dessa orientação, a Microsoft também mitigou um caminho de ataque que poderia levar ao comprometimento total do locatário (Global Admin) do Exchange local.”
A boa notícia é que os clientes do Microsoft Exchange que implementaram anteriormente o hotfix e as diretrizes de abril já estão protegidos contra esse novo ataque pós-exploração.
No entanto, aqueles que não implementaram as mitigações ainda são afetados e devem instalar o hotfix e seguir as instruções da Microsoft(doc 1 e doc 2) na implantação do aplicativo híbrido dedicado do Exchange.
“Apenas aplicar o hotfix não é suficiente neste caso, há ações manuais de acompanhamento necessárias para migrar para uma entidade de serviço dedicada”, explicou Mollema.
“A urgência do ponto de vista da segurança depende de quanto os administradores consideram importante o isolamento entre os recursos locais do Exchange e os recursos hospedados na nuvem. Na configuração antiga, o Exchange híbrido tem acesso total a todos os recursos no Exchange online e no SharePoint.”
Mollema também reiterou que sua técnica é um ataque pós-exploração, o que significa que um invasor já deve ter comprometido o ambiente local ou os servidores Exchange e, neste caso, ter privilégios de administrador.
De acordo com o CISA Diretiva de Emergência 25-02, as agências federais agora devem mitigar o ataque primeiro fazendo um inventário de seus ambientes do Exchange usando Script do Verificador de Integridade da Microsoft. Todos os servidores que não são mais compatíveis com o hotfix de abril de 2025, como as versões de fim de vida útil do Exchange, devem ser desconectados.
Todos os servidores restantes devem ser atualizados para as atualizações cumulativas mais recentes (CU14 ou CU15 para Exchange 2019 e CU23 para Exchange 2016) e corrigidos com o hotfix de abril. Posteriormente, os administradores devem executar o Microsofts ConfigureExchangeHybridApplication.ps1 Script do PowerShell para alternar da entidade de serviço compartilhada para a dedicada na ID do Entra.
A CISA alerta que a não implementação dessas mitigações pode resultar em ambientes híbridos completamente comprometidos.
As agências devem concluir as etapas técnicas de correção até segunda-feira de manhã e enviar um relatório à CISA até as 17:00 do mesmo dia.
Embora as organizações não governamentais não sejam obrigadas a tomar medidas de acordo com esta diretiva, a CISA insta todas as organizações a mitigar o ataque.
“Os riscos associados a essa vulnerabilidade do Microsoft Exchange se estendem a todas as organizações e setores que usam esse ambiente”, disse o diretor interino da CISA, Madhu Gottumukkala.
“Embora as agências federais sejam obrigatórias, pedimos fortemente a todas as organizações que adotem as ações desta Diretiva de Emergência.”
