Mais de 29.000 servidores Exchange expostos online permanecem sem as devidas correções contra uma vulnerabilidade de alta severidade que pode permitir que atacantes realizem movimentos laterais em ambientes de nuvem da Microsoft, potencialmente levando a um comprometimento completo do domínio.
A falha de segurança (rastreada como
CVE-2025-53786
) auxilia atores de ameaças que obtêm acesso administrativo a servidores Exchange locais a escalar privilégios dentro do ambiente de nuvem conectado da organização, forjando ou manipulando tokens confiáveis ou chamadas de API, sem deixar rastros facilmente detectáveis e tornando difícil a detecção de exploração.
CVE-2025-53786
afeta o Exchange Server 2016, o Exchange Server 2019 e o Microsoft Exchange Server Subscription Edition, que substitui o modelo de licença perpétua por um baseado em assinatura, em configurações híbridas.
A falha foi divulgada após a Microsoft liberar orientações e um *hotfix* para o servidor Exchange em abril de 2025, como parte de sua Iniciativa Futuro Seguro, que apoia uma nova arquitetura usando um aplicativo híbrido dedicado que substitui a identidade compartilhada insegura previamente usada pelo Exchange Server local e o Exchange Online.
Embora a Redmond ainda não tenha encontrado evidências de abuso em ataques, a vulnerabilidade ainda foi marcada como "Exploração Mais Provável" porque a Redmond considera que um código de exploração permitindo exploração consistente poderia ser desenvolvido, aumentando sua atratividade para atacantes.
De acordo com varreduras da plataforma de monitoramento de ameaças de segurança Shadowserver, mais de 29.000 servidores Exchange ainda estão sem a correção contra potenciais ataques
CVE-2025-53786
.
Do total de 29.098 servidores não atualizados detectados em 10 de agosto, mais de 7.200 endereços IP foram encontrados nos Estados Unidos, mais de 6.700 na Alemanha e mais de 2.500 na Rússia.
Um dia após a Microsoft divulgar a vulnerabilidade, a CISA emitiu a Diretiva de Emergência 25-02, ordenando que todas as agências do Ramo Executivo Civil Federal (FCEB), incluindo o Departamento de Segurança Interna, o Departamento do Tesouro e o Departamento de Energia, mitigassem essa vulnerabilidade Microsoft Exchange de alta severidade até segunda-feira às 9:00 AM ET.
As agências federais devem mitigar a falha primeiro realizando um inventário de seus ambientes Exchange usando o script Health Checker da Microsoft e desconectando do internet os servidores voltados ao público que não são mais suportados pelo *hotfix* de abril de 2025, como as versões de fim de vida (EOL) ou fim de serviço do Exchange Server.
Todos os demais servidores têm que ser atualizados com as últimas atualizações cumulativas (CU14 ou CU15 para Exchange 2019, e CU23 para Exchange 2016) e corrigidos com o *hotfix* de abril da Microsoft.
Em um comunicado separado emitido na quinta-feira, a agência de cibersegurança dos EUA alertou que não mitigar o
CVE-2025-53786
poderia levar "a um comprometimento total do domínio híbrido na nuvem e local".
Embora organizações não governamentais não sejam obrigadas a agir de acordo com a Diretiva de Emergência 25-02, a CISA instou todas as organizações a tomarem as mesmas medidas para proteger seus sistemas contra possíveis ataques.
"Os riscos associados a esta vulnerabilidade do Microsoft Exchange se estendem a todas as organizações e setores que usam esse ambiente", disse o diretor interino da CISA, Madhu Gottumukkala.
"Embora as agências federais sejam mandatadas, nós fortemente instamos todas as organizações a adotarem as ações nesta Diretiva de Emergência."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...