CVE‑2026‑42897 en Exchange: riesgos inmediatos y mitigaciones para administradores on‑premises

Microsoft clasifica el fallo como una vulnerabilidad de spoofing, ya que permite manipular la interfaz o el contexto de sesión dentro de Outlook on the web.

Las bases de datos de seguridad lo califican como alta severidad (CVSS 8.1), ya que puede explotarse de forma remota con pocos requisitos aparte de que la víctima interactúe con el contenido malicioso.

Cómo funciona el ataque en OWA

El vector de ataque combina ingeniería social y contenido malicioso en correo electrónico:

1. El atacante envía un correo especialmente manipulado a la organización objetivo.
2. La víctima abre el mensaje usando Outlook on the web (OWA).
3. Debido a la falla en el manejo de entradas, el contenido controlado por el atacante se procesa de forma que permite ejecutar JavaScript dentro de la sesión del navegador de la víctima.

Una vez ejecutado el script dentro de una sesión autenticada de OWA, el atacante podría:

• Suplantar elementos de la interfaz o comunicaciones
• Ejecutar acciones dentro de la sesión del usuario
• Manipular o enviar datos desde el buzón de la víctima

Las advertencias públicas no incluyen código de explotación detallado, pero varios reportes de seguridad confirman que el fallo ya se está utilizando en ataques reales.

Versiones de Exchange afectadas

Los informes actuales identifican como vulnerables las siguientes versiones instaladas localmente:

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019
• Microsoft Exchange Server Subscription Edition (SE)

Estas versiones suelen desplegarse en centros de datos corporativos y exponen Outlook on the web a usuarios internos o acceso remoto.

Por qué Exchange Online no está afectado

Los avisos disponibles describen el problema como específico de instalaciones on‑premises de Exchange Server, no del servicio cloud administrado por Microsoft.

Exchange Online funciona de forma distinta en dos aspectos clave:

• La infraestructura es operada y actualizada directamente por Microsoft.
• Las actualizaciones y controles de seguridad se aplican centralmente en el servicio.

Por eso, la vulnerabilidad se describe como propia de servidores Exchange autogestionados y su componente OWA, no de la plataforma Microsoft 365 en la nube.

Mitigaciones temporales publicadas por Microsoft

Hasta que exista un parche definitivo, Microsoft ha publicado protecciones temporales a través del Exchange Emergency Mitigation Service (EEMS).

Este servicio puede aplicar mitigaciones automáticamente en servidores Exchange compatibles. Para CVE‑2026‑42897, Microsoft liberó una mitigación identificada con IDs en el rango M2.1.x, que debería desplegarse automáticamente si el servicio está habilitado.

Las organizaciones deben verificar que la mitigación se haya descargado y aplicado correctamente.

Opciones de mitigación manual

No todos los entornos permiten mitigaciones automáticas. Esto ocurre, por ejemplo, en:

• redes aisladas o desconectadas
• entornos donde EEMS está deshabilitado

En estos casos, Microsoft proporciona procedimientos manuales mediante herramientas de mitigación de Exchange que permiten aplicar la misma protección sin depender del servicio automático.

Los administradores deberían implementar estas mitigaciones de inmediato si EEMS no está disponible.

Limitaciones en servidores antiguos o no compatibles

Las mitigaciones distribuidas por EEMS están diseñadas para versiones de Exchange todavía soportadas. Los servidores que estén:

• desactualizados
• ejecutando versiones fuera de soporte
• sin acceso a los endpoints de mitigación de Microsoft

pueden no recibir o aplicar la mitigación correctamente.

Estos sistemas deben considerarse potencialmente expuestos hasta que se actualicen, aíslen o protejan por otros medios.

Aún no hay parche definitivo confirmado

En el momento de los avisos citados, Microsoft había publicado mitigaciones temporales pero no una actualización de seguridad permanente para CVE‑2026‑42897.

Las organizaciones deberían seguir las actualizaciones oficiales del Microsoft Security Response Center (MSRC) y del equipo de Exchange para conocer cuándo estará disponible el parche.

Por qué es clave usar el Exchange Health Checker ahora

Uno de los riesgos de las mitigaciones automáticas es asumir que están activas cuando en realidad no lo están.

Microsoft recomienda usar el script Exchange Health Checker para verificar el estado real de cada servidor. El script puede mostrar rápidamente:

• si el Exchange Emergency Mitigation Service está habilitado
• si las mitigaciones como M2.1.x están aplicadas
• si existen problemas de configuración que impidan descargarlas o activarlas

Ejecutarlo en todos los servidores Exchange ayuda a confirmar que la organización está realmente protegida y no simplemente confiando en configuraciones asumidas.

Pasos urgentes para administradores de Exchange

Las organizaciones que operan Exchange on‑premises deberían priorizar de inmediato:

• Verificar que EEMS esté habilitado y funcionando
• Confirmar que la mitigación M2.1.x para CVE‑2026‑42897 esté aplicada
• Ejecutar el Exchange Health Checker en todos los servidores
• Aplicar mitigación manual si la automática no está disponible
• Identificar servidores obsoletos o fuera de soporte

Dado que la vulnerabilidad ya está siendo explotada activamente, cualquier servidor con Outlook on the web expuesto debería tratar esta verificación como una tarea operativa urgente.