Una vulnerabilidad de suplantación de identidad en Outlook Web Access (OWA) de Microsoft Exchange Server, identificada como CVE-2026-42897, está siendo explotada activamente. Este problema afecta a Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition en todos los niveles de actualización.
¿Cuál es la amenaza?
CVE 2026 42897 es una vulnerabilidad de suplantación de identidad provocada por un fallo de secuencias de comandos entre sitios (XSS) en la interfaz OWA de Microsoft Exchange Server local. Exchange no sanitiza correctamente cierto contenido de correo electrónico antes de mostrarlo en el navegador, lo que permite a los atacantes distribuir cargas maliciosas.
Un atacante puede enviar un correo electrónico manipulado que, al visualizarse en OWA bajo ciertas condiciones (como la vista previa o determinados modos de visualización), ejecuta código JavaScript controlado por el atacante en la sesión del navegador de la víctima. Dado que este código se ejecuta en el contexto de la sesión de OWA del usuario, los atacantes pueden suplantar su identidad, robar tokens de sesión o cookies y manipular los datos del buzón, incluyendo la creación de reglas de reenvío o el envío de mensajes como la víctima.
Microsoft clasifica esto como una vulnerabilidad de suplantación de identidad, en lugar de una ejecución remota directa de código en el servidor; sin embargo, representa un riesgo significativo de robo de cuentas y filtración de datos.
¿Por qué es digno de mención?
Esta vulnerabilidad es importante porque afecta a OWA, una de las interfaces más expuestas y utilizadas en las implementaciones locales de Exchange. Las organizaciones que siguen dependiendo de Exchange local a menudo utilizan OWA para el acceso remoto e híbrido, lo que crea una amplia superficie de ataque.
La vía de explotación un correo electrónico manipulado que conduce a la ejecución de JavaScript en el navegador puede eludir las defensas tradicionales de correo electrónico y de los puntos finales, que se centran principalmente en los archivos adjuntos o en el malware evidente.
Varios equipos nacionales de respuesta a emergencias cibernéticas (CERT), incluido CISA, han confirmado la explotación activa de la vulnerabilidad y han añadido la CVE-2026-42897 al catálogo de vulnerabilidades explotadas conocidas (KEV), lo que la convierte de un problema teórico en un riesgo operativo real. Dado que aún no se dispone de un parche completo, las organizaciones deben recurrir a medidas de mitigación y controles compensatorios, que pueden implementarse de forma inconsistente o estar mal configurados.
¿Cuál es la exposición o el riesgo?
Las organizaciones que utilizan Exchange 2016, 2019 o Subscription Edition en sus instalaciones, con OWA expuesto, corren un riesgo directo. Cualquier usuario que abra un correo electrónico malicioso en OWA podría activar la vulnerabilidad sin saberlo, lo que le daría a un atacante acceso a su sesión. Una explotación exitosa permite la suplantación de identidad, incluyendo el envío de correos electrónicos como la víctima, la lectura o el reenvío de mensajes confidenciales y la modificación de las reglas del buzón para extraer datos silenciosamente. Dado que la vulnerabilidad se ejecuta como JavaScript en el navegador, también puede recopilar cookies de sesión, tokens y otros datos del navegador, lo que podría permitir un acceso más amplio a Exchange o aplicaciones web relacionadas.
En entornos donde OWA se integra con el inicio de sesión único (SSO), el impacto puede ir más allá del correo electrónico, brindando a los atacantes acceso indirecto a recursos adicionales en la nube o web. Los atacantes pueden combinar esta técnica con ataques de phishing o de relleno de credenciales para escalar desde una única sesión comprometida hasta una mayor exposición organizacional.
El riesgo es especialmente alto para cuentas privilegiadas o de alto valor, como las de ejecutivos, administradores y buzones compartidos utilizados para flujos de trabajo de finanzas, recursos humanos o compras. Dado que la explotación se basa en el contenido del correo electrónico en lugar de una carga útil tradicional, puede mimetizarse con el tráfico normal y eludir la detección básica de antivirus o basada en archivos adjuntos.
🛡️ Cómo reducir el riesgo (antes de que alguien más lo haga por ti)
Habilite el servicio de mitigación de emergencia de Exchange (EEM) de Microsoft en todos los servidores Exchange locales afectados. Como alternativa, ejecute la última herramienta de mitigación de Exchange local (EOMT) para CVE-2026-42897 y verifique que el estado de mitigación aparezca como aplicado.
Reduzca la exposición directa de OWA a Internet siempre que sea posible. Por ejemplo, exija el uso de una VPN o publique OWA detrás de un proxy inverso o una puerta de enlace de aplicación con controles adicionales, como reglas de WAF.
Supervise atentamente el uso de OWA y los buzones de correo en busca de indicios de abuso. Preste atención a incidentes como inicios de sesión inusuales, reglas de bandeja de entrada nuevas o sospechosas, reenvíos inesperados o actividad inusual en la carpeta de Elementos enviados/eliminados.
Actualizar los agentes de seguridad a las últimas versiones y configurarlos para detectar/automatizar la detección de comportamientos sospechosos.
Prepárese para implementar la actualización de seguridad una vez que esté disponible. Planifique volver a validar la configuración de Exchange y eliminar las medidas de mitigación temporales una vez que se hayan aplicado todos los parches.
Cumpla con las directrices regulatorias (como los plazos KEV de CISA) documentando los servidores afectados, las medidas de mitigación aplicadas y los cronogramas de implementación.
Pruebe las medidas de mitigación de forma controlada (por ejemplo, en un entorno de prueba o en un subconjunto limitado de servidores) para asegurarse de que no interrumpan los flujos de correo críticos y, a continuación, impleméntelas de forma coherente en todos los servidores de Exchange.
Restrinja el acceso a las interfaces de administración de Exchange limitando los permisos a los administradores necesarios e implementando una autenticación sólida y la autenticación Multifactor (MFA) para todas las cuentas de administrador.
Centralice el registro robusto de Exchange y OWA (por ejemplo, reenvíe los registros a SIEM/XDR) para detectar e investigar rápidamente los intentos de explotación o las anomalías relacionadas con CVE 2026 42897.
Deja tu comentario