Microsoft ha lanzado una alerta importante a sus clientes: existe una vulnerabilidad de alta gravedad en entornos híbridos de Exchange Server que podría dar a los atacantes la oportunidad de escalar privilegios en Exchange Online… y hacerlo sin dejar rastro.
Para ponerlo en contexto: las configuraciones híbridas de Exchange conectan tus servidores de correo locales con Exchange Online (la versión en la nube dentro de Microsoft 365). Esto permite que todo funcione como si fuera un único sistema: buzones sincronizados, calendarios compartidos, listas globales de contactos y un flujo de correo unificado entre local y nube.
El problema es que, en estos entornos híbridos, Exchange local y Exchange Online comparten la misma identidad de servicio, una credencial especial que se usa para autenticar la comunicación entre ambos. Si esa identidad se ve comprometida, el atacante podría moverse entre los dos entornos como si fuera un usuario legítimo… y ahí es donde está el riesgo.
El problema se agrava porque, al aprovechar esa identidad de servicio compartida, un atacante que tenga el control del Exchange local puede falsificar tokens de confianza o manipular llamadas API. El lado en la nube las aceptará como válidas, ya que confía por defecto en el servidor local.
Y aquí viene lo más preocupante: las acciones que se originan en Exchange local no siempre dejan huella en los registros de Microsoft 365. Esto significa que herramientas de auditoría basadas en la nube, como Microsoft Purview o los registros de auditoría de M365, podrían no detectar la intrusión si el ataque empezó en el entorno local.
Como explicó Microsoft en su aviso de seguridad del miércoles:
“En una implementación híbrida de Exchange, un atacante que primero obtenga acceso administrativo a un servidor Exchange local podría escalar privilegios dentro del entorno en la nube de la organización sin dejar un rastro fácilmente detectable y auditable”.
La vulnerabilidad, ahora identificada como CVE-2025-53786, es una falla de escalada de privilegios de alta gravedad que afecta a Exchange Server 2016, Exchange Server 2019 y también a Exchange Server Subscription Edition, la versión más reciente basada en suscripción que reemplaza al modelo de licencia perpetua.
Aunque Microsoft no ha detectado ataques activos explotando esta falla, la ha clasificado como de “Explotación más probable”. Su análisis muestra que sería relativamente sencillo desarrollar un exploit estable para aprovecharla de forma repetida, lo que la convierte en un objetivo muy atractivo para ciberdelincuentes.
La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha publicado un aviso específico sobre la vulnerabilidad CVE-2025-53786, instando a las organizaciones con Exchange híbrido a actuar de inmediato si no quieren abrir la puerta a un compromiso total del dominio.
Las recomendaciones clave incluyen:
Instalar las actualizaciones de seguridad de abril de 2025 para Exchange Server en el entorno local, siguiendo las guías oficiales de Microsoft.
Implementar la aplicación híbrida dedicada de Exchange para reforzar la autenticación entre el servidor local y la nube.
Para quienes usan o usaron Exchange híbrido en el pasado, limpiar y restablecer las credenciales de la entidad de servicio siguiendo el procedimiento documentado por Microsoft.
Al terminar, ejecutar el Microsoft Exchange Health Checker para confirmar que no haya pasos pendientes.
CISA advierte que no aplicar estas medidas podría permitir a un atacante tomar control tanto del entorno local como de la nube híbrida. Además, recomienda desconectar de Internet cualquier servidor Exchange o SharePoint sin soporte (EOL), ya que representan un riesgo crítico.
Microsoft, por su parte, recuerda que Exchange Server 2016 y 2019 llegarán al final de su soporte extendido en octubre. La compañía aconseja migrar a Exchange Online o actualizar a Exchange Server Subscription Edition (SE) para seguir recibiendo parches de seguridad.
La advertencia no es exagerada: en los últimos años, los grupos de hackers patrocinados por estados y ciberdelincuentes han explotado vulnerabilidades graves en Exchange, como los famosos ProxyLogon y ProxyShell.
En marzo de 2021, por ejemplo, al menos diez grupos de amenazas (incluido Hafnium (también conocido como Silk Typhoon) vinculado a China) aprovecharon ProxyLogon para comprometer miles de servidores.
Y en enero de 2023, Microsoft volvió a insistir a los administradores en mantener Exchange local siempre actualizado con la última Actualización Acumulativa (CU), para estar listos ante cualquier parche de emergencia que pueda salvarlos de un ataque.
Conoce más sobre: Hackers Comprometen Servidores de Microsoft Exchange con Keyloggers
Esta vulnerabilidad en Exchange híbrido no es un simple aviso técnico: es una advertencia directa de que un descuido en las actualizaciones puede costarte el control total de tu dominio. En un escenario donde los atacantes (desde grupos criminales hasta actores estatales) buscan constantemente puntos débiles, postergar un parche o ignorar una configuración segura es abrirles la puerta de par en par.
Actualizar Exchange Server, aplicar los parches recomendados y seguir las guías oficiales de Microsoft y CISA no es solo una buena práctica, es una línea de defensa crítica. Del mismo modo, mantener al día la infraestructura, retirar servidores sin soporte y reforzar los controles de seguridad debe formar parte del día a día de cualquier equipo de TI.
En TecnetOne te recordamos que la prevención siempre cuesta menos que la recuperación. Mantener tus sistemas actualizados, auditar configuraciones y reaccionar rápido ante vulnerabilidades no es opcional: es la clave para mantener tu negocio seguro.