✨︎ Resumen (TL;DR):
- Microsoft detectó ataques activos que utilizan correos maliciosos para tomar el control de navegadores mediante Exchange Server.
- La falla CVE-2026-42897 afecta a servidores locales (on-premises) de las versiones 2016, 2019 y Subscription Edition.
- Aún no existe un parche definitivo, por lo que la empresa lanzó una mitigación de emergencia automática para frenar las intrusiones.
Microsoft reveló este 14 de mayo la existencia de una vulnerabilidad de tipo zero-day en Outlook Web Access (OWA) que piratas informáticos están aprovechando en entornos reales. El fallo permite que un atacante envíe un correo electrónico diseñado específicamente para ejecutar JavaScript arbitrario en el navegador de la víctima si esta interactúa con el mensaje.
La vulnerabilidad, identificada como CVE-2026-42897, fue clasificada con un nivel de severidad alto. Según la base de datos nacional de vulnerabilidades, el problema radica en una neutralización inadecuada de entradas durante la generación de páginas web, lo que facilita la suplantación de identidad (spoofing) a través de la red. Los servicios de Exchange Online no están afectados por este problema.
Mitigación de emergencia y versiones vulnerables
Debido a que todavía no hay una actualización de seguridad permanente, Microsoft recurrió al Exchange Emergency Mitigation Service (EEMS). Este mecanismo de defensa automático, implementado en 2021, ya comenzó a distribuir una medida paliativa temporal denominada “M2” a los servidores que tienen el servicio activo.
Existen puntos críticos que los administradores de sistemas deben considerar:
- Servidores desactualizados: El servicio de mitigación automática no funciona en instalaciones de Exchange anteriores a marzo de 2023. Estos equipos permanecen expuestos hasta que se aplique una solución manual.
- Entornos aislados: Las organizaciones con servidores sin conexión a internet deben usar la herramienta Exchange On-premises Mitigation Tool desde una terminal con privilegios elevados.
- Parches finales: La actualización definitiva será pública para la Subscription Edition, pero los usuarios de Exchange 2016 y 2019 solo la recibirán si están inscritos en el programa de actualizaciones extendidas (ESU) Periodo 2.
Un blanco recurrente para el cibercrimen
Este anuncio surge apenas un día después del Patch Tuesday de mayo de 2026, donde Microsoft corrigió cerca de 130 vulnerabilidades sin reportar inicialmente ningún zero-day. La infraestructura de Exchange on-premises ha sido un objetivo constante para grupos de espionaje, recordando la campaña ProxyLogon de 2021 vinculada a actores estatales.
Scott Schnoll, integrante del equipo de Microsoft Exchange, instó a los administradores a verificar la aplicación de la mitigación M2 mediante el script Exchange Health Checker. Esta es la forma más confiable de confirmar la protección el mismo día del reporte, especialmente porque el tiempo para asegurar estos sistemas se agota tras el fin de las actualizaciones de seguridad del Periodo 1 en abril pasado.
