Microsoft confirmó la existencia de una nueva vulnerabilidad crítica que afecta a las versiones locales de Microsoft Exchange Server y que ya está siendo explotada activamente en ataques reales.
La falla, identificada como CVE-2026-42897, posee una puntuación CVSS de 8,1 y ha sido catalogada por Microsoft como un problema de suplantación derivado de un fallo de Cross-Site Scripting (XSS). Según la compañía, los atacantes pueden aprovechar la vulnerabilidad enviando correos electrónicos especialmente diseñados para ejecutar código JavaScript arbitrario cuando las víctimas acceden al mensaje mediante Outlook Web Access (OWA).
El descubrimiento vuelve a colocar a Exchange Server en el foco de la ciberseguridad global, especialmente debido al historial de ataques masivos y explotación crítica que han afectado a servidores Exchange locales durante los últimos años.
Qué es la vulnerabilidad CVE-2026-42897
La vulnerabilidad CVE-2026-42897 afecta específicamente a implementaciones on-premise de Exchange Server y se origina por una neutralización inadecuada de entradas durante la generación de páginas web.
Según explicó Microsoft, el problema permite a atacantes no autenticados ejecutar ataques de suplantación mediante la explotación de un fallo XSS a través de red.
En términos prácticos, el ataque funciona enviando un correo electrónico malicioso a un usuario de Exchange Server. Cuando el mensaje es abierto desde Outlook Web Access y se cumplen determinadas condiciones de interacción, el navegador ejecuta código JavaScript controlado por el atacante dentro del contexto de la sesión web de la víctima.
Esto podría permitir:
- Robo de sesiones
- Suplantación de identidad
- Acceso no autorizado
- Manipulación de contenido web
- Ejecución de scripts maliciosos
- Robo de tokens o cookies de autenticación
El problema fue descubierto y reportado por un investigador anónimo.
Exchange Server vuelve a ser objetivo prioritario
Microsoft Exchange Server continúa siendo uno de los objetivos más atractivos para grupos de ciberdelincuencia y actores patrocinados por estados debido a su enorme presencia en infraestructuras empresariales y gubernamentales.
Durante los últimos años, múltiples campañas avanzadas han explotado vulnerabilidades críticas en Exchange Server para:
- Desplegar ransomware
- Robar correos corporativos
- Comprometer redes internas
- Instalar web shells
- Mantener persistencia en organizaciones
La aparición de CVE-2026-42897 refuerza nuevamente la necesidad de aplicar rápidamente mitigaciones y mantener actualizadas las plataformas de correo empresarial.
Versiones afectadas de Exchange Server
Microsoft confirmó que la vulnerabilidad afecta a todas las versiones locales soportadas de Exchange Server, incluyendo:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition
La compañía aclaró que todas las versiones y niveles de actualización de estas plataformas se consideran vulnerables.
Por otro lado, Exchange Online no se ve afectado por este problema de seguridad.
Microsoft activa mitigación automática mediante EEMS
Mientras trabaja en un parche definitivo, Microsoft anunció la implementación de una mitigación temporal automática mediante el Exchange Emergency Mitigation Service (EEMS).
El sistema aplicará automáticamente una configuración de reescritura de URL diseñada para bloquear la explotación de la vulnerabilidad.
Según Microsoft:
- El servicio está habilitado por defecto.
- No requiere intervención manual en la mayoría de casos.
- La mitigación se despliega automáticamente desde la nube.
El objetivo es reducir rápidamente la superficie de exposición mientras se desarrolla y distribuye una corrección permanente.
Qué hacer si EEMS no está habilitado
Microsoft también publicó medidas alternativas para entornos donde el Exchange Emergency Mitigation Service no puede utilizarse debido a restricciones operativas o entornos aislados (air-gapped).
La empresa recomienda:
Descargar la herramienta EOMT
Los administradores deben descargar la última versión de la Exchange On-premises Mitigation Tool (EOMT).
Ejecutar mitigación manual
Microsoft proporcionó comandos específicos para aplicar la mitigación:
Mitigación en un único servidor
1 .\<span class="ͼm">EOMT</span>.<span class="ͼm">ps1</span> <span class="ͼg">-</span><span class="ͼm">CVE</span> <span class="ͼk">"CVE-2026-42897"</span>
Mitigación en todos los servidores Exchange
1 <span class="ͼm">Get-ExchangeServer</span> <span class="ͼg">|</span> <span class="ͼl">Where-Object</span> { <span class="ͼl">$_</span>.<span class="ͼm">ServerRole</span> <span class="ͼg">-ne</span> <span class="ͼk">"Edge"</span> } <span class="ͼg">|</span> .\<span class="ͼm">EOMT</span>.<span class="ͼm">ps1</span> <span class="ͼg">-</span><span class="ͼm">CVE</span> <span class="ͼk">"CVE-2026-42897"</span>
Estas acciones deben ejecutarse desde un Exchange Management Shell (EMS) elevado.
Microsoft detecta explotación activa
Uno de los aspectos más preocupantes del aviso de seguridad es que Microsoft marcó la vulnerabilidad como “Exploitation Detected”.
Esto significa que la compañía ya identificó actividad maliciosa real explotando el fallo en entornos activos.
Sin embargo, por el momento no existen detalles públicos sobre:
- Los actores responsables
- El origen de los ataques
- Sectores afectados
- Países objetivo
- Magnitud de la campaña
- Número de organizaciones comprometidas
Tampoco se ha confirmado si los ataques observados lograron comprometer completamente sistemas Exchange vulnerables.

Problema conocido con la mitigación
Microsoft indicó además la existencia de un problema visual relacionado con la mitigación automática.
Algunos administradores podrían observar el mensaje:
“Mitigación inválida para esta versión del intercambio”
Sin embargo, la empresa aclaró que se trata únicamente de un problema cosmético.
Si el estado aparece como “Applied”, la mitigación se considera correctamente implementada y funcional.
El equipo de Exchange indicó que ya se encuentra investigando una solución para corregir el mensaje erróneo.
Riesgos de ataques XSS en plataformas empresariales
Aunque las vulnerabilidades XSS suelen asociarse frecuentemente con aplicaciones web públicas, en plataformas empresariales como Exchange Server pueden convertirse en amenazas extremadamente peligrosas.
Un ataque exitoso podría permitir:
- Secuestro de sesiones administrativas
- Robo de credenciales
- Movimiento lateral
- Compromiso de buzones corporativos
- Acceso a información sensible
- Distribución de malware interno
Dado que Outlook Web Access es ampliamente utilizado por organizaciones para acceso remoto al correo corporativo, la superficie de ataque potencial es considerable.
Microsoft refuerza seguridad en Exchange Server
La nueva vulnerabilidad llega en un momento donde Microsoft continúa endureciendo la seguridad de sus productos on-premise tras múltiples incidentes críticos sufridos por Exchange Server en años anteriores.
Entre las medidas implementadas recientemente destacan:
- Mitigaciones automáticas desde la nube
- Mayor telemetría de seguridad
- Integración con Defender
- Herramientas de respuesta rápida
- Hardening de OWA
- Actualizaciones acumulativas reforzadas
El Exchange Emergency Mitigation Service forma parte precisamente de esta estrategia para reducir el tiempo de exposición frente a ataques zero-day.
Recomendaciones para administradores
Ante la explotación activa de CVE-2026-42897, los administradores de Exchange Server deberían actuar inmediatamente aplicando las mitigaciones recomendadas por Microsoft.
Las acciones prioritarias incluyen:
- Verificar si EEMS está habilitado
- Aplicar EOMT manualmente si es necesario
- Revisar logs de Exchange y OWA
- Monitorizar actividad sospechosa
- Restringir accesos innecesarios
- Mantener sistemas actualizados
- Prepararse para instalar el parche definitivo
En infraestructuras críticas, cualquier retraso en la mitigación podría aumentar significativamente el riesgo de compromiso.
Exchange Server sigue siendo un objetivo estratégico
La explotación activa de CVE-2026-42897 demuestra nuevamente que Microsoft Exchange Server continúa siendo uno de los activos más valiosos para actores maliciosos.
El acceso al correo corporativo puede proporcionar a los atacantes:
- Información confidencial
- Credenciales internas
- Acceso a infraestructura empresarial
- Datos financieros
- Información estratégica
Por ello, las vulnerabilidades que afectan Exchange Server suelen convertirse rápidamente en objetivos prioritarios para campañas de espionaje, ransomware y cibercrimen organizado.
Mientras Microsoft trabaja en una solución definitiva, la rapidez en la aplicación de mitigaciones será clave para reducir el impacto potencial de esta nueva amenaza.
Fuente: The Hacker News
