Microsoft ha revelado la vulnerabilidad CVE-2026-42897 (CVSS 8.1) en las versiones locales de Exchange Server, que ya está siendo activamente explotada por atacantes. La vulnerabilidad de tipo cross-site scripting (XSS) permite ejecutar código JavaScript arbitrario en el navegador de la víctima mediante un correo electrónico especialmente diseñado, abierto en Outlook Web Access. Se ven afectados Exchange Server 2016, 2019 y Subscription Edition en cualquier nivel de actualización; Exchange Online en la nube no es vulnerable. Aún no se ha publicado un parche permanente — Microsoft propone medidas temporales a través de Exchange Emergency Mitigation Service y el script EOMT, que deben aplicarse de inmediato.
Detalles técnicos de la vulnerabilidad
Según el boletín de Microsoft Security Response Center, CVE-2026-42897 se clasifica como “neutralización incorrecta de datos de entrada al generar una página web” (CWE-79 — cross-site scripting). Microsoft ha asignado a la vulnerabilidad el estado «Exploitation Detected», lo que confirma el hecho de que está siendo activamente explotada en ataques reales.
El vector de ataque es el siguiente: el atacante envía a la víctima un correo electrónico especialmente diseñado. Cuando el usuario abre ese mensaje a través de la interfaz de Outlook Web Access y realiza determinadas acciones (Microsoft lo describe como «certain interaction conditions»), se ejecuta código JavaScript arbitrario en el contexto del navegador. Esto permite al atacante llevar a cabo spoofing a través de la red sin autenticación previa.
La puntuación CVSS 8.1 sitúa la vulnerabilidad en la categoría de alta criticidad. Aunque las vulnerabilidades XSS a menudo se perciben como menos peligrosas en comparación con el remote code execution (RCE), en el contexto de Exchange Server la situación es radicalmente distinta: la ejecución de JavaScript en una sesión de OWA potencialmente abre el acceso al contenido del buzón, a los tokens de sesión y a la capacidad de actuar en nombre del usuario comprometido.
Productos afectados
La vulnerabilidad se aplica a todas las versiones locales de Exchange Server, independientemente de las actualizaciones instaladas:
- Exchange Server 2016 — cualquier nivel de actualización
- Exchange Server 2019 — cualquier nivel de actualización
- Exchange Server Subscription Edition (SE) — cualquier nivel de actualización
Según Microsoft, Exchange Online no es vulnerable a esta vulnerabilidad. Esto significa que las organizaciones que han migrado completamente a la infraestructura en la nube de Microsoft 365 están fuera de la zona de riesgo.
Lo que se sabe sobre la explotación
En el momento de la publicación, Microsoft no ha revelado detalles sobre qué grupos específicos están explotando la vulnerabilidad, cuál es el alcance de los ataques ni si han tenido éxito. No hay información sobre sectores o regiones objetivo. El investigador anónimo que descubrió y notificó el problema tampoco ha sido identificado públicamente.
No obstante, el propio hecho de que Microsoft haya asignado el estado «Exploitation Detected» es una señal que no se puede ignorar. Históricamente, Exchange Server sigue siendo uno de los objetivos prioritarios para los atacantes: basta recordar las campañas con ProxyLogon y ProxyShell, que provocaron la compromisión masiva de miles de organizaciones en todo el mundo.
Evaluación del impacto
Corren mayor riesgo las organizaciones que siguen utilizando instalaciones locales de Exchange Server con acceso abierto a OWA desde internet. Esta es una configuración típica para organismos públicos, entidades financieras y empresas que, por razones regulatorias o de infraestructura, no han migrado a soluciones en la nube.
La explotación exitosa de XSS en el contexto de un servidor de correo puede conducir a:
- Robo de tokens de sesión y acceso no autorizado a los buzones
- Ataques de phishing en nombre de usuarios comprometidos dentro de la organización
- Robo de datos confidenciales del contenido de los correos
- Uso del acceso comprometido como punto de apoyo para avanzar posteriormente dentro de la red
Recomendaciones prácticas de protección
Opción 1: Exchange Emergency Mitigation Service (recomendado)
Según la documentación de Microsoft, el servicio Exchange Emergency Mitigation Service aplica automáticamente una corrección temporal mediante una configuración de reescritura de URL. Este servicio está habilitado de forma predeterminada en las versiones compatibles de Exchange Server. Si el servicio se ha deshabilitado, es necesario activarlo de inmediato.
Opción 2: Aplicación manual mediante EOMT (para entornos aislados)
Para servidores sin acceso a internet, el equipo de Exchange recomienda utilizar la herramienta Exchange On-Premises Mitigation Tool (EOMT):
- Descargue la versión actual de EOMT desde aka.ms/UnifiedEOMT
- Para aplicarlo en un único servidor, ejecute en Exchange Management Shell con privilegios elevados:
.\EOMT.ps1 -CVE "CVE-2026-42897" - Para aplicarlo en todos los servidores (excepto Edge):
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
Error cosmético conocido
Microsoft ha confirmado que, tras aplicar la mitigación, en el campo Description puede mostrarse el mensaje «Mitigation invalid for this exchange version». Se trata de un defecto cosmético: si el estado muestra «Applied», la protección funciona correctamente. Microsoft está trabajando en corregir este problema de visualización.
Las organizaciones que utilizan versiones locales de Exchange Server deben aplicar las medidas de protección temporales frente a CVE-2026-42897 en las próximas horas, sin esperar al lanzamiento de un parche permanente. La prioridad son los servidores con OWA accesible desde internet. Tras aplicar la mitigación, asegúrese de que el estado se muestre como «Applied» y haga un seguimiento del boletín de MSRC para recibir información sobre la publicación de una actualización de seguridad completa.
