Corrija a falha Exchange CVE-2025-53786: Alerta urgente CISA

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Um guia urgente da CISA e Microsoft para proteger seus servidores contra um ataque de alto impacto que conecta sua rede local à nuvem.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu uma diretiva de emergência nesta semana para lidar com uma falha crítica no Microsoft Exchange, rastreada como CVE-2025-53786. Essa vulnerabilidade pode permitir que invasores comprometam ambientes em nuvem a partir de servidores Exchange locais mal configurados — uma ameaça real e urgente, especialmente para ambientes híbridos.

Embora a diretiva obrigue apenas agências federais dos EUA a agirem até a próxima segunda-feira, organizações privadas do mundo inteiro devem considerar esta falha como prioridade máxima. Neste artigo, você entenderá o que é a falha Exchange CVE-2025-53786, como o ataque funciona, por que ele é tão perigoso, o conteúdo da diretiva da CISA e, principalmente, como proteger seu ambiente Exchange em apenas três passos práticos.

Segurança de dados CISA

O que é a vulnerabilidade CVE-2025-53786?

A falha Exchange CVE-2025-53786 afeta instalações híbridas do Microsoft Exchange Server, especificamente as versões 2016, 2019 e Subscription Edition. Em essência, ela explora uma configuração padrão utilizada para conectar servidores locais ao Exchange Online, criando uma ponte perigosa entre o ambiente local e a nuvem.

O problema está na utilização de uma entidade de serviço compartilhada configurada durante a integração híbrida do Exchange. Essa entidade, se não for atualizada, pode ser manipulada por um invasor que tenha acesso administrativo ao servidor local, permitindo movimento lateral para a nuvem da Microsoft.

Como o ataque funciona: da sua rede local para a nuvem

Um invasor com privilégios administrativos no servidor Exchange local pode gerar tokens de acesso falsos. Isso é possível graças à confiança implícita entre o Exchange local e a entidade de serviço compartilhada no Entra ID (antigo Azure AD).

Essa entidade, configurada para facilitar a comunicação entre ambientes, se torna o elo fraco. Com o token forjado, o invasor consegue autenticar-se como se fosse um serviço legítimo, abrindo caminho para o acesso indevido ao Exchange Online, à nuvem da Microsoft e possivelmente a outros serviços conectados.

Em termos práticos, trata-se de um ataque pós-exploração — ou seja, ele requer acesso prévio ao servidor local. Contudo, a gravidade está na capacidade do atacante de escalar privilégios e atingir recursos críticos hospedados na nuvem.

Por que as ferramentas de log podem não detectar a invasão?

Outro agravante dessa vulnerabilidade é que ferramentas como o Microsoft Purview, amplamente utilizadas para auditoria e conformidade, podem não registrar as atividades maliciosas resultantes desse ataque.

Isso ocorre porque os tokens forjados parecem legítimos sob a perspectiva da nuvem. Com isso, a movimentação do invasor escapa aos registros tradicionais, dificultando a detecção e resposta ao incidente.

A natureza furtiva dessa falha aumenta ainda mais sua criticidade, pois pode haver comprometimento prolongado sem qualquer alerta visível para os administradores.

A diretiva de emergência da CISA e o que ela significa para você

A Diretiva de Emergência 25-02, publicada pela CISA, exige que todas as agências federais dos EUA realizem correções em seus ambientes Exchange híbridos até 12 de agosto de 2025.

A ação envolve verificação de vulnerabilidades, aplicação de atualizações específicas e, o mais importante, migração para uma entidade de serviço dedicada, eliminando a exposição gerada pela entidade compartilhada.

Segundo a própria CISA:

“A exploração ativa da vulnerabilidade demonstra uma ameaça clara e inaceitável para a segurança de sistemas federais, e as medidas corretivas devem ser tomadas imediatamente.”

Um aviso para todos: por que sua empresa deve seguir a recomendação

Embora a diretiva seja obrigatória apenas para o governo dos EUA, o alerta se aplica a qualquer organização que utilize o Exchange em um modelo híbrido.

Jen Easterly, diretora da CISA, destacou que:

“Esta vulnerabilidade não é apenas uma questão de conformidade governamental — ela representa um risco real para qualquer empresa que opere ambientes híbridos mal configurados.”

Empresas privadas devem encarar a diretiva como um indicativo da gravidade do problema, e não como algo restrito ao setor público.

Guia de mitigação: como proteger seu ambiente Exchange em 3 passos

Se você utiliza o Microsoft Exchange em ambientes híbridos, essa é a parte mais importante do artigo. Corrigir a falha Exchange CVE-2025-53786 exige mais do que apenas instalar um patch — é necessário mudar a arquitetura de confiança entre o local e a nuvem.

A seguir, um guia prático em três passos para proteger seu ambiente.

Passo 1: Inventário e verificação com o Health Checker

O primeiro passo é identificar os servidores afetados. Para isso, utilize o script HealthChecker.ps1, disponível no repositório oficial da Microsoft.

Esse script analisa os servidores Exchange e gera um relatório com:

  • Versões instaladas e se estão atualizadas
  • Detecção de configuração híbrida
  • Indicação se o servidor está vulnerável à falha CVE-2025-53786

Garanta que todas as instâncias do Exchange em produção sejam verificadas.

Passo 2: Atualização e aplicação do hotfix de abril de 2025

O segundo passo é garantir que as Atualizações Cumulativas (CUs) mais recentes estejam aplicadas. A Microsoft lançou um hotfix específico em abril de 2025 que prepara o ambiente para a migração da entidade de serviço.

Importante: Esse hotfix não corrige a falha por si só, mas é pré-requisito para aplicar a mitigação definitiva descrita no próximo passo.

Passo 3: A ação manual crucial – migrando para a entidade de serviço dedicada

A mitigação definitiva ocorre ao substituir a entidade de serviço compartilhada por uma dedicada, eliminando a relação de confiança implícita entre o local e a nuvem.

Para isso, utilize o script:

ConfigureExchangeHybridApplication.ps1

Esse script reconfigura o ambiente no Entra ID, criando uma entidade de serviço dedicada, única para sua organização.

Vantagens dessa migração:

  • Impede o uso de tokens forjados por invasores
  • Isole seu ambiente on-premise do Exchange Online
  • Garante conformidade com as recomendações da CISA e da Microsoft

Importante: A ação é manual e requer execução consciente. Planeje uma janela de manutenção e siga cuidadosamente a documentação da Microsoft.

Conclusão: uma lição sobre a segurança de ambientes híbridos

A falha Exchange CVE-2025-53786 é um alerta global sobre os riscos de infraestruturas híbridas mal protegidas. A capacidade de um invasor sair do ambiente local e comprometer a nuvem com um único ponto de entrada reforça a importância de arquiteturas de confiança bem segmentadas.

Embora a CISA tenha agido com rapidez, a responsabilidade de proteger ambientes privados também é sua. O tempo para agir é agora.

Não espere até ser o próximo alvo. Verifique seus servidores Exchange imediatamente e aplique as correções recomendadas pela Microsoft e pela CISA para garantir a integridade do seu ambiente híbrido. A segurança da sua nuvem pode depender disso.

Compartilhe este artigo