A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu uma diretiva de emergência nesta semana para lidar com uma falha crítica no Microsoft Exchange, rastreada como CVE-2025-53786. Essa vulnerabilidade pode permitir que invasores comprometam ambientes em nuvem a partir de servidores Exchange locais mal configurados — uma ameaça real e urgente, especialmente para ambientes híbridos.
Embora a diretiva obrigue apenas agências federais dos EUA a agirem até a próxima segunda-feira, organizações privadas do mundo inteiro devem considerar esta falha como prioridade máxima. Neste artigo, você entenderá o que é a falha Exchange CVE-2025-53786, como o ataque funciona, por que ele é tão perigoso, o conteúdo da diretiva da CISA e, principalmente, como proteger seu ambiente Exchange em apenas três passos práticos.
O que é a vulnerabilidade CVE-2025-53786?
A falha Exchange CVE-2025-53786 afeta instalações híbridas do Microsoft Exchange Server, especificamente as versões 2016, 2019 e Subscription Edition. Em essência, ela explora uma configuração padrão utilizada para conectar servidores locais ao Exchange Online, criando uma ponte perigosa entre o ambiente local e a nuvem.
O problema está na utilização de uma entidade de serviço compartilhada configurada durante a integração híbrida do Exchange. Essa entidade, se não for atualizada, pode ser manipulada por um invasor que tenha acesso administrativo ao servidor local, permitindo movimento lateral para a nuvem da Microsoft.
Como o ataque funciona: da sua rede local para a nuvem
Um invasor com privilégios administrativos no servidor Exchange local pode gerar tokens de acesso falsos. Isso é possível graças à confiança implícita entre o Exchange local e a entidade de serviço compartilhada no Entra ID (antigo Azure AD).
Essa entidade, configurada para facilitar a comunicação entre ambientes, se torna o elo fraco. Com o token forjado, o invasor consegue autenticar-se como se fosse um serviço legítimo, abrindo caminho para o acesso indevido ao Exchange Online, à nuvem da Microsoft e possivelmente a outros serviços conectados.
Em termos práticos, trata-se de um ataque pós-exploração — ou seja, ele requer acesso prévio ao servidor local. Contudo, a gravidade está na capacidade do atacante de escalar privilégios e atingir recursos críticos hospedados na nuvem.
Por que as ferramentas de log podem não detectar a invasão?
Outro agravante dessa vulnerabilidade é que ferramentas como o Microsoft Purview, amplamente utilizadas para auditoria e conformidade, podem não registrar as atividades maliciosas resultantes desse ataque.
Isso ocorre porque os tokens forjados parecem legítimos sob a perspectiva da nuvem. Com isso, a movimentação do invasor escapa aos registros tradicionais, dificultando a detecção e resposta ao incidente.
A natureza furtiva dessa falha aumenta ainda mais sua criticidade, pois pode haver comprometimento prolongado sem qualquer alerta visível para os administradores.
A diretiva de emergência da CISA e o que ela significa para você
A Diretiva de Emergência 25-02, publicada pela CISA, exige que todas as agências federais dos EUA realizem correções em seus ambientes Exchange híbridos até 12 de agosto de 2025.
A ação envolve verificação de vulnerabilidades, aplicação de atualizações específicas e, o mais importante, migração para uma entidade de serviço dedicada, eliminando a exposição gerada pela entidade compartilhada.
Segundo a própria CISA:
“A exploração ativa da vulnerabilidade demonstra uma ameaça clara e inaceitável para a segurança de sistemas federais, e as medidas corretivas devem ser tomadas imediatamente.”
Um aviso para todos: por que sua empresa deve seguir a recomendação
Embora a diretiva seja obrigatória apenas para o governo dos EUA, o alerta se aplica a qualquer organização que utilize o Exchange em um modelo híbrido.
Jen Easterly, diretora da CISA, destacou que:
“Esta vulnerabilidade não é apenas uma questão de conformidade governamental — ela representa um risco real para qualquer empresa que opere ambientes híbridos mal configurados.”
Empresas privadas devem encarar a diretiva como um indicativo da gravidade do problema, e não como algo restrito ao setor público.
Guia de mitigação: como proteger seu ambiente Exchange em 3 passos
Se você utiliza o Microsoft Exchange em ambientes híbridos, essa é a parte mais importante do artigo. Corrigir a falha Exchange CVE-2025-53786 exige mais do que apenas instalar um patch — é necessário mudar a arquitetura de confiança entre o local e a nuvem.
A seguir, um guia prático em três passos para proteger seu ambiente.
Passo 1: Inventário e verificação com o Health Checker
O primeiro passo é identificar os servidores afetados. Para isso, utilize o script HealthChecker.ps1, disponível no repositório oficial da Microsoft.
Esse script analisa os servidores Exchange e gera um relatório com:
- Versões instaladas e se estão atualizadas
- Detecção de configuração híbrida
- Indicação se o servidor está vulnerável à falha CVE-2025-53786
Garanta que todas as instâncias do Exchange em produção sejam verificadas.
Passo 2: Atualização e aplicação do hotfix de abril de 2025
O segundo passo é garantir que as Atualizações Cumulativas (CUs) mais recentes estejam aplicadas. A Microsoft lançou um hotfix específico em abril de 2025 que prepara o ambiente para a migração da entidade de serviço.
Importante: Esse hotfix não corrige a falha por si só, mas é pré-requisito para aplicar a mitigação definitiva descrita no próximo passo.
Passo 3: A ação manual crucial – migrando para a entidade de serviço dedicada
A mitigação definitiva ocorre ao substituir a entidade de serviço compartilhada por uma dedicada, eliminando a relação de confiança implícita entre o local e a nuvem.
Para isso, utilize o script:
ConfigureExchangeHybridApplication.ps1
Esse script reconfigura o ambiente no Entra ID, criando uma entidade de serviço dedicada, única para sua organização.
Vantagens dessa migração:
- Impede o uso de tokens forjados por invasores
- Isole seu ambiente on-premise do Exchange Online
- Garante conformidade com as recomendações da CISA e da Microsoft
Importante: A ação é manual e requer execução consciente. Planeje uma janela de manutenção e siga cuidadosamente a documentação da Microsoft.
Conclusão: uma lição sobre a segurança de ambientes híbridos
A falha Exchange CVE-2025-53786 é um alerta global sobre os riscos de infraestruturas híbridas mal protegidas. A capacidade de um invasor sair do ambiente local e comprometer a nuvem com um único ponto de entrada reforça a importância de arquiteturas de confiança bem segmentadas.
Embora a CISA tenha agido com rapidez, a responsabilidade de proteger ambientes privados também é sua. O tempo para agir é agora.
Não espere até ser o próximo alvo. Verifique seus servidores Exchange imediatamente e aplique as correções recomendadas pela Microsoft e pela CISA para garantir a integridade do seu ambiente híbrido. A segurança da sua nuvem pode depender disso.
