Dos incidentes de seguridad golpean a Microsoft Exchange en la misma semana

Eso sí, no había evidencia de explotación real en Internet para esta cadena concreta en ese momento. El impacto principal fue demostrar que existían fallos todavía no parcheados en Exchange.

El zero‑day explotado activamente: CVE‑2026‑42897

Al mismo tiempo que se celebraba Pwn2Own, Microsoft alertó de un problema completamente distinto: una vulnerabilidad que ya estaba siendo explotada en ataques reales.

El fallo, identificado como CVE‑2026‑42897, es una vulnerabilidad de cross‑site scripting (XSS) causada por una neutralización incorrecta de entradas durante la generación de páginas web en Microsoft Exchange Server.

Este tipo de vulnerabilidad puede permitir suplantación o ejecución de scripts maliciosos a través de interfaces web como Outlook Web Access (OWA).

Según los informes de seguridad, un atacante podría enviar contenido especialmente manipulado que, al abrirse en OWA, ejecuta JavaScript en el navegador de la víctima.

Versiones afectadas

La vulnerabilidad afecta a implementaciones on‑premises de Exchange, incluyendo:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

Microsoft confirmó que Exchange Online (Microsoft 365) no estaba afectado por este problema.

El fallo recibió una puntuación CVSS aproximada de 8.1 (alta gravedad) y fue añadido rápidamente al catálogo Known Exploited Vulnerabilities (KEV) de CISA, lo que confirma que ya estaba siendo utilizado en ataques reales.

Medidas de mitigación recomendadas por Microsoft

Debido a que la vulnerabilidad estaba siendo explotada antes de existir un parche definitivo, Microsoft publicó medidas de mitigación temporales.

La principal defensa se basa en el Exchange Emergency Mitigation Service (EEMS), un servicio que permite aplicar reglas de protección automáticamente en los servidores Exchange.

En el caso de CVE‑2026‑42897, el servicio implementó una mitigación mediante reglas URL Rewrite, destinadas a bloquear solicitudes maliciosas dirigidas al componente vulnerable.

Microsoft recomendó a los administradores:

• Verificar que Exchange Emergency Mitigation Service esté activado.
• Instalar la actualización de seguridad cuando se publique el parche definitivo.
• Revisar logs de Exchange e IIS en busca de actividad sospechosa.

La reacción de CISA

La agencia estadounidense CISA (Cybersecurity and Infrastructure Security Agency) añadió rápidamente la vulnerabilidad al catálogo KEV.

Esto implica que las agencias civiles federales de EE. UU. deben remediarla dentro de los plazos establecidos por la directiva Binding Operational Directive 22‑01 (BOD 22‑01).

En la práctica, aparecer en el catálogo KEV indica que las organizaciones deben tratar la vulnerabilidad como una amenaza activa y prioritaria, no como un riesgo teórico.

Las medidas habituales incluyen:

• Aplicar parches o mitigaciones del proveedor lo antes posible
• Verificar si existen servicios expuestos a Internet
• Aislar o retirar sistemas vulnerables si no hay mitigación disponible

Por qué estos incidentes son importantes para Exchange on‑premises

La coincidencia de ambos eventos en la misma semana ilustra por qué Exchange instalado localmente sigue siendo un objetivo frecuente en ciberataques.

Hay varios factores que influyen:

Exposición a Internet
Muchos despliegues de Exchange publican servicios como OWA en Internet, lo que amplía significativamente la superficie de ataque.

Acceso a información crítica
Comprometer un servidor Exchange puede dar acceso a correos electrónicos, credenciales, tokens de autenticación y, potencialmente, al dominio Windows completo de la organización.

Diversidad de vectores de ataque
Los dos incidentes de la semana mostraron extremos distintos del panorama de amenazas:

• cadenas de vulnerabilidades complejas descubiertas por investigadores
• fallos web explotables ya activos en campañas reales

Ventanas sin parche
El zero‑day demostró que los atacantes pueden explotar fallos antes de que existan correcciones, obligando a las organizaciones a depender de mitigaciones temporales y monitorización.

Conclusión

Lo ocurrido con Pwn2Own Berlín 2026 y el zero‑day CVE‑2026‑42897 refuerza una tendencia clara: los servidores Microsoft Exchange on‑premises siguen siendo uno de los puntos más sensibles de la infraestructura empresarial.

Mientras el exploit de Pwn2Own mostró lo que investigadores altamente especializados pueden lograr en condiciones controladas, la vulnerabilidad explotada activamente demostró la rapidez con la que los atacantes aprovechan fallos reales.

Para las organizaciones que aún operan Exchange en sus propios servidores, la conclusión es directa: reducir la exposición a Internet, mantener activas las mitigaciones automáticas y aplicar parches de seguridad tan pronto como estén disponibles.