La unidad de investigación de SILIKN advierte sobre una vulnerabilidad crítica que afecta a implementaciones híbridas de Microsoft Exchange Server y Exchange Online, y que requiere atención inmediata para evitar posibles compromisos de seguridad.

La alerta se emite en concordancia con la información publicada por Microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA).El fallo, registrado bajo el identificador CVE-2025-53786, permite la escalada silenciosa de privilegios en entornos híbridos, lo que podría dar a un atacante control total sobre recursos locales y en la nube sin dejar evidencia forense.

Esta falla de seguridad impacta exclusivamente a configuraciones híbridas en las que el servidor local (on-premises) y Exchange Online comparten el mismo servicio principal.

En este escenario, si un atacante obtiene acceso administrativo al servidor local, puede extender ese control al entorno en la nube sin ser detectado.

La unidad de investigación de SILIKN recomienda ejecutar sin demora las siguientes acciones:

– Instalar el Hot Fix liberado por Microsoft en abril de 2025 o una versión posterior en todos los servidores Exchange locales.

– Restablecer las credenciales del service principal (keyCredentials), incluso si la autenticación OAuth ya no se encuentra en uso.

– Ejecutar la herramienta Exchange Health Checker para verificar si son necesarias medidas adicionales.

De igual forma, de acuerdo con un análisis de SILIKN, alrededor de 262 dependencias del gobierno de México están potencialmente en riesgo. Entre ellas se incluyen:

– Sistema de Administración Tributaria (SAT)
– Instituto Mexicano del Seguro Social (IMSS)
– Gobierno del Estado de Yucatán
– Gobierno del Estado de Tabasco
– Gobierno del Estado de Colima
– Secretaría del Agua y Medio Ambiente del Gobierno del Estado de Zacatecas
РPoder Legislativo del Estado de M̩xico

A estas y a las demás entidades se les recomienda desconectar de internet cualquier versión de Exchange o SharePoint en fin de vida (EOL), como SharePoint Server 2013 o versiones anteriores, por representar un riesgo de explotación adicional.

Además, la unidad de investigación de SILIKN recomienda estar atentos a los comunicados oficiales de Microsoft que, como parte de su estrategia de mitigación, implementará un bloqueo temporal del tráfico de Exchange Web Services (EWS) que utilice el servicio principal compartido, con el objetivo de promover la migración hacia Exchange Hybrid App, una alternativa más segura y moderna.

Aunque esta vulnerabilidad requiere que el atacante posea privilegios administrativos previos, la unidad de investigación de SILIKN enfatiza la urgencia de adoptar medidas preventivas.

Todas las organizaciones que utilicen entornos híbridos de Exchange, en especial las dependencias gubernamentales identificadas, deben actuar de inmediato:

– Aplicar parches actualizados.

– Fortalecer configuraciones de seguridad.

– Migrar hacia arquitecturas más seguras como Exchange Hybrid App.

Cabe señalar que el tiempo de reacción es clave. Cada día sin aplicar estas medidas aumenta el riesgo de una intrusión con consecuencias potencialmente irreversibles.