Microsoft ha confirmado una vulnerabilidad crítica en versiones on‑premises de Exchange Server, registrada como CVE‑2026‑42897, que está siendo explotada activamente en entornos reales. Se trata de un fallo de tipo cross‑site scripting (XSS) que permite spoofing: un atacante puede enviar un correo especialmente confeccionado que, si el destinatario lo abre en Outlook Web Access (OWA) y realiza ciertas interacciones, permite la ejecución de JavaScript arbitrario en el contexto del navegador del usuario.
La naturaleza de este fallo lo hace especialmente peligroso en combinación con técnicas de ingeniería social: el vector inicial no exige credenciales comprometidas ni acceso previo al servidor, basta con que el usuario objetivo visualice o interactúe con el mensaje en OWA. Aunque Microsoft ha asignado un CVSS alto (8.1) y ha marcado la incidencia como “Exploitation Detected”, todavía no se han publicado detalles forenses sobre el actor, las campañas o la escala de las intrusiones, lo que complica la atribución y el alcance real del daño.
Es importante subrayar que Exchange Online no se ve afectado, pero las instalaciones locales de Exchange Server 2016, 2019 y Subscription Edition sí lo están en cualquier nivel de actualización. Microsoft ha habilitado una mitigación temporal automática mediante su Exchange Emergency Mitigation Service (EEMS); los administradores pueden consultar la documentación oficial en la página de EEMS para confirmar el estado y configuración de ese servicio.
Para entornos aislados por políticas de air‑gap o que no puedan usar la mitigación automática, Microsoft ha publicado la herramienta Exchange On‑premises Mitigation Tool (EOMT). El enlace corto oficial es https://aka.ms/UnifiedEOMT, y la ejecución típica para aplicar la mitigación sería, por ejemplo, ejecutar .\EOMT.ps1 -CVE "CVE-2026-42897" en un Exchange Management Shell elevado o usar un comando que recorra servidores con Get‑ExchangeServer para aplicarlo a todos.
Más allá de aplicar las mitigaciones proporcionadas, las organizaciones deberían asumir que la exposición de OWA incrementa el riesgo: revise y habilite la mitigación automática (EEMS) y confirme que el servicio de Windows correspondiente está en ejecución, o aplique EOMT si la red está desconectada. Mientras tanto, reduzca la superficie de ataque limitando el acceso externo a OWA mediante listas de control de acceso, redes privadas virtuales, o un WAF con reglas para bloquear payloads sospechosos, y fuerce autenticación multifactor para el acceso web cuando sea posible.
Además de medidas de contención, incorpore tareas de detección y respuesta: inspeccione registros de OWA y del servidor Exchange en busca de accesos inusuales, encabezados o parámetros que contengan scripts, y pivotee en buzones que pudieron recibir correos sospechosos. Si hay sospecha de explotación, preserve evidencias, aísle los servidores afectados y contacte al equipo de soporte y respuesta interno o a Microsoft para coordinar la investigación.
La exposición prolongada de servidores on‑premises sin parches o mitigaciones modernas hace que este tipo de vulnerabilidades tenga un impacto desproporcionado. Como práctica de seguridad, planifique aplicar el parche definitivo tan pronto como Microsoft lo publique, revise la arquitectura para reducir dependencias críticas en servicios expuestos y actualice procesos de respuesta ante incidentes para cubrir ataques basados en contenido web y spoofing.
Para mantenerse informado y obtener instrucciones concretas de aplicación de mitigaciones y parches, consulte las fuentes oficiales de Microsoft y la documentación de respuesta a vulnerabilidades: EEMS y EOMT (herramienta de mitigación). También es recomendable suscribirse a boletines de seguridad y a feeds de Inteligencia de Vulnerabilidades para recibir avisos sobre actualizaciones y detalles técnicos adicionales.
Si administra un servidor Exchange afectado, actúe con prioridad: aplique la mitigación adecuada ahora, monitorice evidencias de compromiso y prepárese para desplegar el parche permanente en cuanto esté disponible. La coordinación entre equipos de TI, seguridad y comunicación interna es clave para minimizar el riesgo y contener posibles campañas dirigidas a sus usuarios.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Mini Shai-Hulud: el ataque que convirtió las dependencias en vectores de intrusión masiva
Resumen del incidente: GitHub investiga un acceso no autorizado a repositorios internos después de que el actor conocido como TeamPCP puso a la venta en un foro delictivo el sup...
Fox Tempest expone la fragilidad de la firma digital en la nube
La revelación de Microsoft sobre la operación de "malware-signing-as-a-service" conocida como Fox Tempest vuelve a poner en el centro la vulnerabilidad más crítica del ecosistem...
Trapdoor: la operación de malvertising que convirtió apps Android en una fábrica automática de ingresos ilícitos
Investigadores de ciberseguridad han descubierto una operación de malvertising y fraude publicitario móvil bautizada como Trapdoor, que convierte instalaciones legítimas de apli...
Del aviso a la acción orquestación e IA para acelerar la respuesta ante incidentes de red
Los equipos de TI y de seguridad viven una realidad conocida: un aluvión constante de alertas que llega desde plataformas de monitorización, sistemas de infraestructura, servici...
Nx Console en jaque: cómo una extensión de productividad se convirtió en un robo de credenciales y una amenaza para la cadena de suministro
Un ataque dirigido a desarrolladores volvió a poner en evidencia la fragilidad de la cadena de suministro del software: la extensión Nx Console para editores como Visual Studio ...