Microsoft ha confirmado una vulnerabilidad crítica en Exchange Server identificada como CVE-2026-42897 que permite la ejecución de código en el contexto del navegador a través de un ataque de tipo cross-site scripting (XSS) dirigido a usuarios de Outlook en la web (OWA). La explotación se produce mediante un correo especialmente manipulado que, si el destinatario lo abre en OWA y se cumplen ciertas condiciones de interacción, puede ejecutar JavaScript arbitrario y, por tanto, permitir desde el robo de cookies y tokens de sesión hasta cadenas de ataque más complejas que pivoten dentro de la red.
La falla afecta a versiones actualizadas de Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition (SE). Microsoft ha subrayado que, aunque todavía no hay parches definitivos disponibles, su Exchange Emergency Mitigation Service (EEMS) desplegará mitigaciones automáticas para proteger servidores on‑premises con rol Mailbox. EEMS funciona como un servicio de Windows y fue diseñado precisamente para aplicar soluciones interinas ante vulnerabilidades activamente explotadas; si está desactivado, Microsoft recomienda activarlo de inmediato. Más detalles oficiales están en el blog del equipo de Exchange: Exchange Team — Microsoft Tech Community.
Para entornos aislados (air‑gapped) o administradores que prefieran control manual, Microsoft ofrece la Exchange on‑premises Mitigation Tool (EOMT). La mitigación se aplica ejecutando el script desde una Exchange Management Shell elevada con comandos como .\EOMT.ps1 -CVE "CVE-2026-42897" en un único servidor o Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897" para todos los servidores con roles relevantes. Si necesita entender cómo opera EEMS y sus requisitos antes de activarlo, la documentación de Microsoft sobre el servicio es una referencia útil: Documentación de Exchange Emergency Mitigation Service.
Es importante que los equipos de seguridad internalicen dos realidades operativas: primero, Microsoft ha anunciado que lanzará parches para Exchange SE RTM y para ciertas actualizaciones acumulativas (CU) de 2016 y 2019, pero las actualizaciones para Exchange 2016 y 2019 estarán disponibles solo para clientes inscritos en el programa ESU Period 2; segundo, si su servidor ejecuta una versión anterior a marzo de 2023, EEMS no podrá descargar nuevas mitigaciones, lo que obliga a un plan manual de mitigación o actualización.
Las implicaciones prácticas van más allá del simple parcheo. Un exploit XSS efectivo contra OWA puede derivar en accesos persistentes a cuentas, movimiento lateral y exfiltración de datos si el atacante consigue tokens válidos o instala mecanismos de persistencia. Por eso es crítico reducir la superficie de exposición: considere bloquear el acceso externo a OWA desde la red pública cuando sea posible, forzar el uso de VPN para acceso administrativo y habilitar autenticación multifactor (MFA) en el frontend que valide identidades antes de presentar la interfaz web.
A nivel operativo, actúe con prioridad: active EEMS si está disponible, aplique EOMT en entornos aislados, y planifique la instalación de los parches oficiales tan pronto como se publiquen. Paralelamente, monitorice logs de IIS, registros de OWA y detecciones de proxys inversos en busca de patrones anómalos que indiquen envíos masivos de correos con payloads HTML/JS, sesiones iniciadas desde ubicaciones sospechosas o cambios en cookies de sesión. Si su organización mantiene Exchange 2016/2019 tras su fin de soporte, reevalúe el riesgo y la necesidad de migrar a versiones soportadas o asegurar una suscripción ESU.
Finalmente, coordine con su equipo de respuesta ante incidentes para realizar búsquedas retrospectivas (hunt) por indicadores de compromiso relacionados con accesos OWA y con posibles exfiltraciones recientes. Mantener una postura proactiva y aplicar mitigaciones automáticas o manuales ahora reduce la ventana de exposición hasta que lleguen los parches definitivos y evita que un simple clic de usuario derive en una brecha mayor.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...