Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Microsoft confirma ataques contra Exchange Server

Microsoft confirma ataques contra Exchange Server

por Dragora

Microsoft confirmó la existencia de una nueva vulnerabilidad crítica que afecta a las versiones locales de Microsoft Exchange Server y que ya está siendo explotada activamente en ataques reales.

La falla, identificada como CVE-2026-42897, posee una puntuación CVSS de 8,1 y ha sido catalogada por Microsoft como un problema de suplantación derivado de un fallo de Cross-Site Scripting (XSS). Según la compañía, los atacantes pueden aprovechar la vulnerabilidad enviando correos electrónicos especialmente diseñados para ejecutar código JavaScript arbitrario cuando las víctimas acceden al mensaje mediante Outlook Web Access (OWA).

El descubrimiento vuelve a colocar a Exchange Server en el foco de la ciberseguridad global, especialmente debido al historial de ataques masivos y explotación crítica que han afectado a servidores Exchange locales durante los últimos años.

Qué es la vulnerabilidad CVE-2026-42897

La vulnerabilidad CVE-2026-42897 afecta específicamente a implementaciones on-premise de Exchange Server y se origina por una neutralización inadecuada de entradas durante la generación de páginas web.

Según explicó Microsoft, el problema permite a atacantes no autenticados ejecutar ataques de suplantación mediante la explotación de un fallo XSS a través de red.

En términos prácticos, el ataque funciona enviando un correo electrónico malicioso a un usuario de Exchange Server. Cuando el mensaje es abierto desde Outlook Web Access y se cumplen determinadas condiciones de interacción, el navegador ejecuta código JavaScript controlado por el atacante dentro del contexto de la sesión web de la víctima.

Esto podría permitir:

  • Robo de sesiones
  • Suplantación de identidad
  • Acceso no autorizado
  • Manipulación de contenido web
  • Ejecución de scripts maliciosos
  • Robo de tokens o cookies de autenticación

El problema fue descubierto y reportado por un investigador anónimo.

Exchange Server vuelve a ser objetivo prioritario

Microsoft Exchange Server continúa siendo uno de los objetivos más atractivos para grupos de ciberdelincuencia y actores patrocinados por estados debido a su enorme presencia en infraestructuras empresariales y gubernamentales.

Durante los últimos años, múltiples campañas avanzadas han explotado vulnerabilidades críticas en Exchange Server para:

  • Desplegar ransomware
  • Robar correos corporativos
  • Comprometer redes internas
  • Instalar web shells
  • Mantener persistencia en organizaciones

La aparición de CVE-2026-42897 refuerza nuevamente la necesidad de aplicar rápidamente mitigaciones y mantener actualizadas las plataformas de correo empresarial.

Versiones afectadas de Exchange Server

Microsoft confirmó que la vulnerabilidad afecta a todas las versiones locales soportadas de Exchange Server, incluyendo:

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition

La compañía aclaró que todas las versiones y niveles de actualización de estas plataformas se consideran vulnerables.

Por otro lado, Exchange Online no se ve afectado por este problema de seguridad.

Microsoft activa mitigación automática mediante EEMS

Mientras trabaja en un parche definitivo, Microsoft anunció la implementación de una mitigación temporal automática mediante el Exchange Emergency Mitigation Service (EEMS).

El sistema aplicará automáticamente una configuración de reescritura de URL diseñada para bloquear la explotación de la vulnerabilidad.

Según Microsoft:

  • El servicio está habilitado por defecto.
  • No requiere intervención manual en la mayoría de casos.
  • La mitigación se despliega automáticamente desde la nube.

El objetivo es reducir rápidamente la superficie de exposición mientras se desarrolla y distribuye una corrección permanente.

Qué hacer si EEMS no está habilitado

Microsoft también publicó medidas alternativas para entornos donde el Exchange Emergency Mitigation Service no puede utilizarse debido a restricciones operativas o entornos aislados (air-gapped).

La empresa recomienda:

Descargar la herramienta EOMT

Los administradores deben descargar la última versión de la Exchange On-premises Mitigation Tool (EOMT).

Ejecutar mitigación manual

Microsoft proporcionó comandos específicos para aplicar la mitigación:

Mitigación en un único servidor


1
.\<span class="ͼm">EOMT</span>.<span class="ͼm">ps1</span> <span class="ͼg">-</span><span class="ͼm">CVE</span> <span class="ͼk">"CVE-2026-42897"</span>

Mitigación en todos los servidores Exchange


1
<span class="ͼm">Get-ExchangeServer</span> <span class="ͼg">|</span> <span class="ͼl">Where-Object</span> { <span class="ͼl">$_</span>.<span class="ͼm">ServerRole</span> <span class="ͼg">-ne</span> <span class="ͼk">"Edge"</span> } <span class="ͼg">|</span> .\<span class="ͼm">EOMT</span>.<span class="ͼm">ps1</span> <span class="ͼg">-</span><span class="ͼm">CVE</span> <span class="ͼk">"CVE-2026-42897"</span>

Estas acciones deben ejecutarse desde un Exchange Management Shell (EMS) elevado.

Microsoft detecta explotación activa

Uno de los aspectos más preocupantes del aviso de seguridad es que Microsoft marcó la vulnerabilidad como “Exploitation Detected”.

Esto significa que la compañía ya identificó actividad maliciosa real explotando el fallo en entornos activos.

Sin embargo, por el momento no existen detalles públicos sobre:

  • Los actores responsables
  • El origen de los ataques
  • Sectores afectados
  • Países objetivo
  • Magnitud de la campaña
  • Número de organizaciones comprometidas

Tampoco se ha confirmado si los ataques observados lograron comprometer completamente sistemas Exchange vulnerables.

Problema conocido con la mitigación

Microsoft indicó además la existencia de un problema visual relacionado con la mitigación automática.

Algunos administradores podrían observar el mensaje:

“Mitigación inválida para esta versión del intercambio”

Sin embargo, la empresa aclaró que se trata únicamente de un problema cosmético.

Si el estado aparece como “Applied”, la mitigación se considera correctamente implementada y funcional.

El equipo de Exchange indicó que ya se encuentra investigando una solución para corregir el mensaje erróneo.

Riesgos de ataques XSS en plataformas empresariales

Aunque las vulnerabilidades XSS suelen asociarse frecuentemente con aplicaciones web públicas, en plataformas empresariales como Exchange Server pueden convertirse en amenazas extremadamente peligrosas.

Un ataque exitoso podría permitir:

  • Secuestro de sesiones administrativas
  • Robo de credenciales
  • Movimiento lateral
  • Compromiso de buzones corporativos
  • Acceso a información sensible
  • Distribución de malware interno

Dado que Outlook Web Access es ampliamente utilizado por organizaciones para acceso remoto al correo corporativo, la superficie de ataque potencial es considerable.

Microsoft refuerza seguridad en Exchange Server

La nueva vulnerabilidad llega en un momento donde Microsoft continúa endureciendo la seguridad de sus productos on-premise tras múltiples incidentes críticos sufridos por Exchange Server en años anteriores.

Entre las medidas implementadas recientemente destacan:

  • Mitigaciones automáticas desde la nube
  • Mayor telemetría de seguridad
  • Integración con Defender
  • Herramientas de respuesta rápida
  • Hardening de OWA
  • Actualizaciones acumulativas reforzadas

El Exchange Emergency Mitigation Service forma parte precisamente de esta estrategia para reducir el tiempo de exposición frente a ataques zero-day.

Recomendaciones para administradores

Ante la explotación activa de CVE-2026-42897, los administradores de Exchange Server deberían actuar inmediatamente aplicando las mitigaciones recomendadas por Microsoft.

Las acciones prioritarias incluyen:

  • Verificar si EEMS está habilitado
  • Aplicar EOMT manualmente si es necesario
  • Revisar logs de Exchange y OWA
  • Monitorizar actividad sospechosa
  • Restringir accesos innecesarios
  • Mantener sistemas actualizados
  • Prepararse para instalar el parche definitivo

En infraestructuras críticas, cualquier retraso en la mitigación podría aumentar significativamente el riesgo de compromiso.

Exchange Server sigue siendo un objetivo estratégico

La explotación activa de CVE-2026-42897 demuestra nuevamente que Microsoft Exchange Server continúa siendo uno de los activos más valiosos para actores maliciosos.

El acceso al correo corporativo puede proporcionar a los atacantes:

  • Información confidencial
  • Credenciales internas
  • Acceso a infraestructura empresarial
  • Datos financieros
  • Información estratégica

Por ello, las vulnerabilidades que afectan Exchange Server suelen convertirse rápidamente en objetivos prioritarios para campañas de espionaje, ransomware y cibercrimen organizado.

Mientras Microsoft trabaja en una solución definitiva, la rapidez en la aplicación de mitigaciones será clave para reducir el impacto potencial de esta nueva amenaza.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!