This post is also available in: Português
A vulnerabilidade CVE-2025-53786, classificada como de alta gravidade com pontuação CVSS de 8.0, afeta ambientes híbridos do Microsoft Exchange Server integrados ao Exchange Online. Essa falha permite que um invasor com acesso administrativo a um servidor Exchange local consiga escalar privilégios e comprometer o ambiente em nuvem, explorando um mecanismo de autenticação compartilhado.
O problema foi considerado suficientemente crítico para que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitisse uma diretriz de emergência exigindo medidas imediatas de mitigação.
O que é o Microsoft Exchange Server e como funciona em ambientes híbridos
O Microsoft Exchange Server é uma plataforma corporativa de e-mail, calendário e colaboração, amplamente utilizada por empresas de todos os portes para gerenciar comunicações internas e externas. Ele permite o armazenamento seguro de mensagens, integração com agendas compartilhadas, gerenciamento de contatos e sincronização com dispositivos móveis.
Em ambientes híbridos, o Exchange Server on-premises é integrado ao Exchange Online, parte do serviço Microsoft 365, criando uma infraestrutura unificada de e-mail. Essa configuração híbrida oferece benefícios como flexibilidade, escalabilidade e redundância, mas também aumenta a complexidade da segurança. No modo híbrido, certos elementos de autenticação e permissões podem ser compartilhados entre os dois ambientes, e é justamente nesse ponto que a vulnerabilidade CVE-2025-53786 se torna relevante, explorando a configuração padrão de service principals que liga o ambiente local à nuvem.
Produtos afetados e mecanismo da falha
O problema ocorre especificamente em ambientes híbridos do Microsoft Exchange Server, onde há integração com o Exchange Online por meio de autenticação OAuth. Nessas configurações, o mesmo service principal é utilizado tanto no ambiente local quanto no ambiente em nuvem.
Essa configuração cria uma vulnerabilidade que pode ser explorada se o certificado utilizado para autenticação for comprometido. Um atacante com acesso administrativo ao servidor local pode usar esse certificado para obter acesso irrestrito ao Exchange Online, assumindo identidades híbridas e mantendo o controle por até 24 horas, sem gerar registros de log que facilitem a detecção.
Descoberta e ameaça potencial
A vulnerabilidade foi descoberta por Dirk-jan Mollema, da Outsider Security. Embora o ataque exija privilégios administrativos locais para ser iniciado, o impacto é significativo, pois permite que um agente malicioso comprometa não apenas a instância local do Exchange, mas também o ambiente online e potencialmente todo o domínio associado.
Essa combinação de pré-requisitos e impacto justifica a classificação de alta gravidade atribuída ao problema.
Mitigações e orientações
Em resposta à descoberta, a CISA publicou em 7 de agosto de 2025 a Diretriz de Emergência 25-02, determinando que órgãos federais norte-americanos com Exchange híbrido adotassem medidas até 11 de agosto de 2025.
A Microsoft, por sua vez, já havia lançado em abril de 2025 um hotfix específico para corrigir a falha, acompanhado de instruções para separar o uso de service principals entre ambientes locais e em nuvem. As recomendações incluem aplicar as atualizações mais recentes do Exchange Server, configurar um aplicativo dedicado para ambientes híbridos, redefinir as credenciais do service principal caso a integração híbrida não seja mais necessária e utilizar a ferramenta Microsoft Exchange Health Checker para verificar a conformidade das configurações. Além disso, sistemas Exchange ou SharePoint em versões obsoletas devem ser isolados da internet.
A Microsoft também anunciou que, até outubro de 2025, tornará obrigatória a separação entre os service principals do Exchange on-premise e do Exchange Online, reduzindo de forma definitiva a superfície de ataque.
This post is also available in: Português
