Vulnerabilidade crítica no Exchange Server Microsoft permite acesso à nuvem e ambientes híbridos

A Microsoft emitiu um alerta sobre uma falha de segurança de alta gravidade, rastreada como CVE-2025-53786, que afeta versões locais (on-premise) do Exchange Server. A vulnerabilidade, com uma pontuação CVSS de 8.0, pode permitir que um hacker que já tenha acesso administrativo ao servidor local consiga escalar privilégios para o ambiente de nuvem conectado, de forma silenciosa e sem deixar rastros facilmente auditáveis.

A descoberta foi atribuída ao pesquisador de segurança Dirk-jan Mollema, da Outsider Security. A falha representa um risco significativo para organizações que utilizam ambientes híbridos, onde o Exchange Server local e o Exchange Online coexistem e estão interligados.

O problema central reside na forma como as configurações híbridas do Exchange foram projetadas: tanto a versão local quanto a online compartilham o mesmo "service principal" (entidade de serviço) no Azure AD. Segundo a Microsoft, "em uma implantação híbrida do Exchange, um invasor que primeiro obtém acesso administrativo a um servidor Exchange local poderia potencialmente escalar privilégios dentro do ambiente de nuvem conectado da organização".

Durante uma apresentação na conferência de segurança Black Hat USA 2025, Mollema detalhou como um hacker pode explorar essa fraqueza. As versões locais do Exchange Server possuem uma credencial de certificado usada para autenticar no Exchange Online. Um invasor com controle do servidor local pode usar este certificado para solicitar tokens de acesso (S2S actor tokens) do Serviço de Controle de Acesso (ACS) da Microsoft.

Esses tokens, por sua vez, podem conceder acesso irrestrito ao Exchange Online e ao SharePoint, contornando qualquer verificação de segurança ou Acesso Condicional. Mais alarmante ainda é o fato de que, se uma propriedade específica estiver definida, esses tokens podem ser usados para se passar por qualquer usuário no ambiente por um período de 24 horas, e a sua emissão não gera nenhum registro de log, tornando a detecção do ataque extremamente difícil.

Para mitigar o risco, a Microsoft recomenda que os clientes revisem as alterações de segurança do Exchange para implantações híbridas, instalem o Hot Fix de abril de 2025 (ou mais recente) e sigam as novas instruções de configuração. A empresa também está tomando medidas proativas e planeja impor uma separação obrigatória das entidades de serviço do Exchange local e do Exchange Online até outubro de 2025.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou seu próprio boletim, reforçando que a vulnerabilidade pode comprometer a integridade da identidade do serviço Exchange Online de uma organização se não for corrigida.

O alerta da Microsoft coincide com a análise da CISA sobre artefatos maliciosos, conhecidos coletivamente como ToolShell, implantados após a exploração de falhas recentes no SharePoint. Esse malware pode ser usado por hackers para roubar chaves criptográficas e executar comandos remotamente. A agência recomenda que as organizações desconectem da internet as versões do Exchange Server ou SharePoint Server que atingiram o fim de sua vida útil (EOL)

Via - THN