Vulnerabilidad crítica en Exchange Server permite ejecución de código vía XSS en Outlook Web

Introducción

A principios de mayo de 2026, Microsoft identificó y reportó un fallo de spoofing en Exchange Server (CVE-2026-42897) que está siendo explotado activamente para ejecutar código arbitrario en el contexto del navegador de los usuarios que acceden a Outlook Web Access (OWA). El vector de ataque requiere que la víctima abra un correo especialmente diseñado en OWA y cumpla ciertas condiciones de interacción. Este tipo de vulnerabilidad reintroduce un patrón clásico en Exchange: explotación de fallos en la interfaz web para escalar privilegios o comprometer credenciales, tal como ocurrió con ProxyLogon (CVE-2021-26855) y ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

La particularidad de este caso es que no hay parche oficial disponible aún, pero Microsoft ya despliega mitigaciones automáticas a través del Exchange Emergency Mitigation Service (EEMS). Esto subraya la urgencia para equipos de infraestructura y seguridad, ya que los atacantes están explotando el fallo en sistemas en producción con versiones actualizadas, incluyendo Exchange Server 2016, 2019 y la Edición de Suscripción (SE).

Qué ocurrió

El 2 de mayo de 2026, Microsoft publicó un aviso de seguridad advirtiendo sobre CVE-2026-42897, un fallo de spoofing en Exchange Server que permite la ejecución de JavaScript arbitrario en el contexto del navegador del usuario cuando este abre un correo malicioso en Outlook Web Access (OWA). El atacante envía un correo con un enlace o contenido especialmente diseñado que, al ser abierto por la víctima, ejecuta código en su navegador sin necesidad de autenticación adicional.

Según el comunicado oficial:

> «Un atacante podría explotar este fallo enviando un correo especialmente diseñado a un usuario. Si el usuario abre el correo en Outlook Web Access y se cumplen ciertas condiciones de interacción, se puede ejecutar código JavaScript arbitrario en el contexto del navegador.»

El fallo afecta a las siguientes versiones de Exchange Server:

• Exchange Server 2016 (hasta CU23)
• Exchange Server 2019 (hasta CU14 y CU15)
• Exchange Server Subscription Edition (SE)

Microsoft aclaró que no hay parches definitivos disponibles para estas versiones en este momento, pero que los usuarios pueden mitigar el riesgo mediante dos vías:

1. Exchange Emergency Mitigation Service (EEMS): automatizado y recomendado para servidores locales.
2. Exchange On-Premises Mitigation Tool (EOMT): para entornos air-gapped o sin conexión a internet.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Riesgo directo para organizaciones con Exchange locales

El impacto es alto por varios motivos:

• Ejecutable remoto en OWA: Los atacantes pueden inyectar código en el navegador de los usuarios, lo que permite robar cookies de sesión, credenciales o incluso realizar acciones en nombre del usuario (como enviar correos en su nombre).
• Sin necesidad de autenticación previa: El fallo no requiere que el atacante tenga acceso previo al servidor, solo que la víctima abra el correo malicioso.
• Aprovechamiento en campañas de phishing: Los atacantes pueden combinar este fallo con técnicas de ingeniería social para maximizar la efectividad de sus ataques.

Según datos históricos de CISA, 19 vulnerabilidades de Exchange Server han sido añadidas a la lista de fallos explotados activamente en los últimos 5 años, y 14 de ellas fueron usadas en ataques de ransomware. Esto sugiere que este tipo de vulnerabilidades suelen ser escaladas rápidamente a exploits funcionales y luego integradas en kits de ataque automatizados.

Afectación a servicios en la nube

Aunque Exchange Online (Microsoft 365) no se ve afectado por este fallo, las organizaciones que usan Exchange Server en entornos locales o híbridos están en riesgo. Esto incluye:

• Empresas con servidores Exchange 2016/2019 sin soporte extendido.
• Entornos con Exchange Subscription Edition (sin parches definitivos disponibles aún).
• Servidores en air-gapped que no pueden recibir mitigaciones automáticas.

Costos operativos y de mitigación

La aplicación de las mitigaciones disponibles (EEMS o EOMT) puede generar:

• Interrupciones en servicios: Microsoft advierte que la aplicación de las mitigaciones puede causar problemas en servidores Exchange, incluyendo fallos en la autenticación o en el servicio de OWA.
• Requiere validación manual: Los equipos de DevOps deben probar las mitigaciones en entornos de staging antes de aplicarlas a producción.
• Dependencia de programas de soporte extendido (ESU): Las actualizaciones definitivas solo estarán disponibles para clientes del Exchange Server ESU Program (Period 2), lo que implica costos adicionales para organizaciones que no están en este programa.

Detalles técnicos

Vector de ataque y condiciones de explotación

El fallo (CVE-2026-42897) se clasifica como un Cross-Site Scripting (XSS) reflejado en la interfaz web de OWA. Para que el ataque funcione, deben cumplirse las siguientes condiciones:

1. Envío de correo malicioso: El atacante envía un correo con un enlace o contenido que, al ser abierto en OWA, activa el exploit.
2. Interacción del usuario: La víctima debe abrir el correo en OWA (no en clientes de escritorio como Outlook).
3. Contexto del navegador: El código JavaScript se ejecuta en el contexto del navegador del usuario, lo que permite acceder a cookies, tokens de sesión o incluso realizar acciones en nombre del usuario (como enviar correos).

Componentes afectados y versiones

El Exchange Emergency Mitigation Service (EEMS) es un servicio introducido por Microsoft en septiembre de 2021 para proporcionar protecciones temporales contra vulnerabilidades de alta severidad. Funciona de la siguiente manera:

• Automático: Se ejecuta como un servicio de Windows en servidores Exchange con el rol de Mailbox.
• Actualizaciones dinámicas: Descarga mitigaciones automáticamente desde Microsoft, pero solo para servidores con versiones posteriores a marzo de 2023.
• Limitaciones:

– Requiere que el servidor tenga acceso a internet para descargar las mitigaciones.

Para activarlo, los administradores pueden ejecutar:

# Activar EEMS en servidores Exchange
Set-Service -Name "MSExchangeEM" -StartupType Automatic
Start-Service -Name "MSExchangeEM"

Mitigación manual (EOMT) para entornos air-gapped

Para servidores sin conexión a internet, Microsoft proporciona la Exchange On-Premises Mitigation Tool (EOMT), un script de PowerShell que aplica las mitigaciones manualmente. El comando para aplicarlo a todos los servidores (excepto Edge) es:

Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

• Fallos en la autenticación de OWA.
• Problemas en la sincronización de buzones.
• Incompatibilidades con algunos módulos de terceros.

Cronograma y disponibilidad de parches

Microsoft confirmó que los parches definitivos se liberarán en las siguientes versiones:

• Exchange Server Subscription Edition (SE) RTM
• Exchange Server 2016 CU23
• Exchange Server 2019 CU14 y CU15

Sin embargo, solo estarán disponibles para clientes del programa Exchange Server ESU (Period 2), lo que implica costos adicionales para organizaciones que no están en este programa.

Qué deberían hacer los administradores y equipos técnicos

1. Activar EEMS (recomendado para servidores conectados a internet)

# Verificar si EEMS está activo
Get-Service -Name "MSExchangeEM" | Select-Object Name, Status, StartType

# Activar EEMS si no está en ejecución
Set-Service -Name "MSExchangeEM" -StartupType Automatic
Start-Service -Name "MSExchangeEM"

# Verificar mitigaciones aplicadas
Get-ExchangeServer | Get-ExchangeMitigation | Where-Object { $_.CVE -eq "CVE-2026-42897" }

2. Aplicar EOMT en entornos air-gapped o sin conexión

Descargar la última versión de EOMT desde el Centro de Seguridad de Microsoft y ejecutar:

# Descargar EOMT (requiere PowerShell 5.1+)
Invoke-WebRequest -Uri "https://download.microsoft.com/download/.../EOMT.ps1" -OutFile "EOMT.ps1"

# Ejecutar mitigación
.\EOMT.ps1 -CVE "CVE-2026-42897"

• Probar en staging: Aplicar primero en un entorno de pruebas para validar que no hay efectos secundarios.
• Documentar cambios: Registrar las modificaciones realizadas para revertirlas si es necesario.

3. Implementar medidas adicionales de hardening

Dado el historial de Exchange con fallos críticos, se recomienda aplicar las siguientes medidas:

• Restringir acceso a OWA: Configurar reglas de firewall para limitar el acceso a OWA solo desde IPs corporativas.
• Habilitar autenticación multifactor (MFA): Forzar MFA para todos los usuarios que accedan a OWA.
• Monitorear logs: Configurar alertas en SIEM para detectar intentos de explotación (ej: accesos anómalos a OWA, ejecución de scripts inusuales).
• Actualizar políticas de Exchange ESU: Si la organización no está en el programa ESU, evaluar su costo-beneficio frente al riesgo.

4. Prepararse para la aplicación de parches definitivos

Cuando Microsoft libere los parches definitivos:

• Planificar una ventana de mantenimiento: Programar una interrupción controlada para aplicar los parches, especialmente en servidores de producción.
• Validar compatibilidad: Verificar que los parches no rompan integraciones con terceros (ej: módulos de backup, soluciones de monitoreo).
• Revertir mitigaciones temporales: Después de aplicar los parches, desactivar EEMS o EOMT para evitar conflictos.

5. Revisar políticas de soporte extendido (ESU)

Si la organización usa Exchange Server 2016 o 2019, evaluar la inscripción en el programa ESU para acceder a parches futuros. El costo de no hacerlo incluye:

• Riesgo de explotación continua: Sin parches, el servidor queda expuesto a ataques conocidos.
• Cumplimiento normativo: En muchos sectores (ej: salud, finanzas), no aplicar parches críticos puede violar regulaciones como HIPAA o PCI DSS.

Conclusión

CVE-2026-42897 es un recordatorio de que los fallos en interfaces web como OWA siguen siendo un vector crítico para los atacantes, especialmente en sistemas legacy como Exchange Server. Aunque Microsoft no ha liberado parches definitivos, la disponibilidad de mitigaciones automáticas (EEMS) y manuales (EOMT) permite reducir el riesgo de manera inmediata, aunque con posibles efectos secundarios en entornos de producción.

Para los equipos de DevOps y seguridad, la prioridad es:

1. Activar EEMS en servidores conectados a internet.
2. Aplicar EOMT en entornos air-gapped.
3. Implementar medidas adicionales (MFA, restricción de acceso a OWA, monitoreo).
4. Planificar la aplicación de parches definitivos cuando estén disponibles.

Este caso también destaca la importancia de mantener sistemas con soporte activo y evaluar costos de programas como ESU frente al riesgo de explotación. En un panorama donde CISA ha documentado 19 vulnerabilidades de Exchange explotadas en los últimos 5 años, la proactividad es clave para evitar brechas de seguridad.