A Microsoft divulgou um aviso sobre uma falha de segurança de alta gravidade que afeta as versões on-premise do Exchange Server, que poderia permitir a um invasor obter privilégios elevados sob certas condições.
A vulnerabilidade, identificada como
CVE-2025-53786
, possui um score CVSS de 8.0.
Dirk-jan Mollema, da Outsider Security, foi reconhecido por reportar o bug.
"Em uma implantação híbrida do Exchange, um invasor que inicialmente obtem acesso administrativo a um servidor Exchange on-premises poderia potencialmente escalar privilégios dentro do ambiente de nuvem conectado da organização sem deixar rastros facilmente detectáveis e auditáveis", disse a gigante da tecnologia no alerta.
"Este risco surge porque o Exchange Server e o Exchange Online compartilham o mesmo service principal em configurações híbridas."
A exploração bem-sucedida da falha poderia permitir a um invasor escalar privilégios dentro do ambiente de nuvem conectado da organização sem deixar rastros facilmente detectáveis e auditáveis, adicionou a empresa.
No entanto, o ataque depende do ator da ameaça já ter acesso de administrador a um servidor Exchange.
A Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (CISA), em um boletim próprio, disse que a vulnerabilidade poderia impactar a integridade da identidade do serviço Exchange Online de uma organização se não for corrigida.
Como mitigação, recomenda-se que os clientes revisem as alterações de segurança do Exchange Server para implantações híbridas, instalem o Hot Fix de abril de 2025 (ou mais recente) e sigam as instruções de configuração.
"Se você configurou previamente o híbrido do Exchange ou a autenticação OAuth entre o Exchange Server e sua organização Exchange Online, mas não o usa mais, certifique-se de redefinir as keyCredentials do service principal", disse a Microsoft.
O desenvolvimento ocorre enquanto a fabricante do Windows disse que começará a bloquear temporariamente o tráfego do Exchange Web Services (EWS) usando o service principal compartilhado do Exchange Online a partir deste mês, em um esforço para aumentar a adoção do aplicativo híbrido dedicado do Exchange pelos clientes e melhorar a postura de segurança do ambiente híbrido.
O aviso da Microsoft para o
CVE-2025-53786
também coincide com a análise da CISA sobre vários artefatos maliciosos implantados após a exploração de falhas recentemente divulgadas no SharePoint, rastreadas coletivamente como ToolShell.
Isso inclui dois binários DLL codificados em Base64 e quatro arquivos Active Server Page Extended (ASPX) que são projetados para recuperar configurações de chave de máquina dentro da configuração de uma aplicação ASP.NET e agir como um web shell para executar comandos e fazer upload de arquivos.
"Atores de ameaças cibernéticas poderiam aproveitar este malware para roubar chaves criptográficas e executar um comando PowerShell codificado em Base64 para fazer o fingerprint do sistema host e exfiltrar dados", disse a agência.
A CISA também está instando entidades a desconectar versões voltadas ao público do Exchange Server ou SharePoint Server que chegaram ao fim de sua vida útil (EOL) ou fim de serviço da internet, sem mencionar descontinuar o uso de versões desatualizadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...