Seguir 
Microsoft ha revelado una vulnerabilidad que afecta las versiones locales de Exchange Server que ya está siendo explotada activamente en la naturaleza. Identificada como CVE-2026-42897, la vulnerabilidad tiene un puntaje CVSS de 8.1 y afecta a Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition, mientras que Exchange Online no está afectado. Microsoft la describe como un problema de suplantación enraizado en secuencias de comandos entre sitios que puede activarse cuando un usuario abre un correo electrónico especialmente elaborado en Outlook Web Access bajo ciertas condiciones de interacción.
Desde la perspectiva de un defensor, la vulnerabilidad CVE-2026-42897 es importante porque la ruta de explotación no comienza con una toma de control del servidor. En cambio, el atacante envía un correo electrónico elaborado que puede llevar a la ejecución arbitraria de JavaScript en la sesión del navegador de la víctima cuando se ve a través de OWA, creando una ruta hacia la suplantación y el abuso de sesión en el contexto del cliente web. En el momento de la divulgación, Microsoft dijo que se había detectado explotación, pero el informe público no identificó al actor de la amenaza, los objetivos o la escala general de la campaña.
Análisis de CVE-2026-42897
La vulnerabilidad en CVE-2026-42897 está vinculada a la neutralización incorrecta de entrada durante la generación de páginas web en Microsoft Exchange Server. Según la explicación pública de Microsoft, un atacante puede explotar la falla enviando un correo electrónico especialmente elaborado a un usuario, el cual luego ejecuta JavaScript controlado por el atacante en el navegador cuando el mensaje se abre en OWA y se cumplen las condiciones de interacción requeridas. En términos prácticos, la carga útil de CVE-2026-42897 es el contenido del correo electrónico malicioso en sí mismo, más que un binario dejado o un implante del lado del servidor.
Para los equipos de seguridad que realizan análisis de CVE-2026-42897, una limitación clave es la falta actual de detalles profundos de explotación pública. No hay prueba de concepto pública de CVE-2026-42897 en las fuentes citadas, y Microsoft no ha publicado iocs (indicadores de compromiso) de CVE-2026-42897 a nivel de paquetes o forense. Eso significa que la detección de CVE-2026-42897 es más probable que dependa de identificar implementaciones expuestas de OWA locales, monitorear actividades sospechosas impulsadas por correo electrónico en el navegador y verificar que se haya aplicado la mitigación de emergencia de Microsoft en todos los servidores Exchange elegibles.
Mitigación de CVE-2026-42897
La guía inmediata de Microsoft para mitigación de CVE-2026-42897 es confiar en el Servicio de Mitigación de Emergencia de Exchange, que aplica protección automáticamente a través de una configuración de Reescritura de URL y está habilitado por defecto en implementaciones de Exchange locales compatibles. Microsoft dice que los administradores deben asegurarse de que el servicio de Windows esté habilitado si ha sido desactivado. La empresa también afirma que esta mitigación es una medida temporal mientras se prepara una solución permanente.
Si el Servicio de Mitigación de Emergencia de Exchange no se puede utilizar, como en entornos aislados, Microsoft instruye a los administradores a implementar la última Herramienta de Mitigación local de Exchange (EOMT) y aplicar la mitigación específica del CVE ya sea por servidor o en todos los servidores Exchange a través de Exchange Management Shell. En la práctica, para detectar la exposición a CVE-2026-42897, las organizaciones deben inventariar todos los sistemas de Exchange locales orientados a Internet, confirmar si la mitigación de emergencia se aplicó con éxito y priorizar los servidores habilitados para OWA que permanecen accesibles externamente sin la mitigación en su lugar.
FAQ
¿Qué es CVE-2026-42897 y cómo funciona?
CVE-2026-42897 es un fallo de suplantación en Microsoft Exchange Server local causado por un problema de scripting entre sitios en la generación de contenido web relacionado con OWA. Un correo electrónico especialmente elaborado puede ejecutar JavaScript arbitrario en el navegador de la víctima cuando se abre en Outlook Web Access bajo ciertas condiciones.
¿Cuándo se descubrió por primera vez CVE-2026-42897?
Las fuentes públicas no revelan una fecha de descubrimiento privada. Lo que se confirma es que Microsoft divulgó públicamente la falla el 14 de mayo de 2026, y The Hacker News dice que se acreditó a un investigador anónimo por reportarla.
¿Cuál es el impacto de CVE-2026-42897 en los sistemas?
El impacto principal es la ejecución de JavaScript en el contexto del navegador y la suplantación contra los usuarios de Outlook Web Access en entornos locales de Exchange afectados. No se describe en las fuentes citadas como exposición a Exchange Online o ejecución remota de código del lado del servidor.
¿Puede CVE-2026-42897 seguir afectándome en 2026?
Sí. CVE-2026-42897 afecta a los sistemas Exchange Server 2016, 2019 y Subscription Edition locales en 2026 si siguen siendo vulnerables y no se ha aplicado la mitigación de Microsoft. Exchange Online está excluido de los productos afectados listados en el informe.
¿Cómo puedo protegerme de CVE-2026-42897?
Aplique la mitigación de emergencia de Microsoft a través del Servicio de Mitigación de Emergencia de Exchange, o use la Herramienta de Mitigación local de Exchange cuando la mitigación automática no sea posible. Para los defensores que buscan más detalles sobre CVE-2026-42897, el enfoque más seguro actual es verificar el estado de mitigación en cada servidor Exchange expuesto y reducir la exposición innecesaria de OWA hasta que Microsoft publique la solución permanente.
