A Microsoft divulgou uma falha crítica (CVE-2025-53786) que afeta ambientes híbridos do Exchange Server, permitindo que atacantes obtenham acesso ao Exchange Online sem autenticação visível. A vulnerabilidade decorre do uso compartilhado de um service principal entre os ambientes locais e em nuvem, o que pode ser explorado por meio de tokens forjados para escalar privilégios e acessar dados sigilosos sem gerar alertas. Embora não haja indícios de exploração ativa até o momento, a brecha é considerada de alto risco.
Segundo a Microsoft, atacantes com acesso ao ambiente local podem usar credenciais confiáveis para invadir o Exchange Online, explorando a confiança implícita entre os sistemas. O acesso concedido por essa falha pode ser silencioso e difícil de rastrear, o que aumenta o risco de persistência e movimentações laterais dentro do ambiente corporativo. A falha afeta versões híbridas não atualizadas do Exchange e já possui correções lançadas em abril de 2025. A agência de cibersegurança dos EUA (CISA) emitiu um alerta emergencial, recomendando a aplicação imediata dos hotfixes e outras medidas técnicas, como a criação de um aplicativo híbrido dedicado e a revogação do service principal caso a integração não esteja mais ativa. Como medida adicional, a Microsoft iniciará o bloqueio temporário do tráfego via service principal compartilhado neste mês. Uma correção definitiva, com separação das identidades locais e em nuvem, está prevista para outubro de 2025.
A empresa também disponibilizou uma ferramenta de diagnóstico, o Exchange Health Checker, para auxiliar na identificação de configurações vulneráveis. Empresas que utilizam Exchange com integração em nuvem devem agir com rapidez para mitigar riscos. A vulnerabilidade destaca a importância de revisar periodicamente permissões, integrações e componentes legados que, mesmo não diretamente acessíveis pela internet, podem servir como ponto de entrada para invasores experientes.
