Milhares de servidores Microsoft Exchange expostos na internet continuam vulneráveis a uma falha de alta severidade, meses após o lançamento de uma correção. A vulnerabilidade, se explorada, pode permitir que atacantes comprometam totalmente o domínio de uma organização, movendo-se lateralmente dos sistemas locais para o ambiente na cloud.
O que é a vulnerabilidade CVE-2025-53786?
Identificada como CVE-2025-53786, esta falha de segurança afeta as configurações híbridas do Exchange Server 2016, Exchange Server 2019 e Microsoft Exchange Server Subscription Edition. O perigo reside na capacidade de um atacante, que já tenha obtido acesso administrativo a um servidor Exchange local, escalar privilégios para o ambiente cloud da organização.
Isto é conseguido através da manipulação ou falsificação de tokens de confiança ou chamadas de API, um método que deixa poucos vestígios detetáveis, tornando a identificação de um ataque extremamente difícil. Em resposta, a Microsoft lançou uma orientação e um hotfix em abril de 2025, como parte da sua iniciativa Secure Future. Apesar de a Microsoft não ter encontrado provas de exploração ativa, a vulnerabilidade foi classificada como de "Exploração Mais Provável", indicando que o desenvolvimento de um código de ataque funcional é considerado viável.
Milhares de servidores em risco a nível mundial
Apesar da existência de uma correção há vários meses, a situação permanece crítica. De acordo com análises da plataforma de monitorização de ameaças Shadowserver, mais de 29.000 servidores Exchange continuam por corrigir e, portanto, vulneráveis a potenciais ataques.
Os dados de 10 de agosto revelam um total de 29.098 servidores vulneráveis, com a maior concentração nos Estados Unidos (mais de 7.200 endereços IP), seguidos pela Alemanha (mais de 6.700) e pela Rússia (mais de 2.500).
Governo dos EUA emite ordem de emergência
A gravidade da situação levou a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) a emitir uma Diretiva de Emergência (25-02). A ordem exigia que todas as agências federais civis mitigassem a falha até às 9:00 da manhã de segunda-feira, horário da costa leste dos EUA (14:00 em Portugal Continental).
As agências foram instruídas a inventariar os seus ambientes Exchange, desligar da internet servidores sem suporte (como versões em fim de vida) e atualizar os restantes para as versões mais recentes antes de aplicar o hotfix de abril. Num aviso separado, a CISA alertou que a falha em mitigar a CVE-2025-53786 poderia levar a um "comprometimento total do domínio híbrido, tanto na cloud como on-premises".
Madhu Gottumukkala, diretora interina da CISA, sublinhou que o risco se estende a todas as organizações e setores, apelando a que todas as empresas, e não apenas as entidades governamentais, adotem as medidas da diretiva para proteger os seus sistemas.
Nenhum comentário
Seja o primeiro!