Notebookcheck Logo

Día cero de Microsoft Exchange Server explotado a través de un correo electrónico manipulado

El fallo CVE-2026-42897 tiene como objetivo la interfaz Outlook Web Access en Exchange Server local.
ⓘ rawpixel.com
El fallo CVE-2026-42897 tiene como objetivo la interfaz Outlook Web Access en Exchange Server local.
Microsoft confirma la explotación activa del día cero de Exchange Server CVE-2026-42897 a través de correo electrónico crafteado sin parche permanente disponible para despliegues on-prem.
Security Software Windows Microsoft Desktop Laptop / Notebook

Microsoft confirmó la explotación activa de CVE-2026-42897, un día cero en Exchange Server local que permite a los atacantes ejecutar JavaScript arbitrario en el navegador de una víctima mediante el envío de un correo electrónico crafteado. No existe ningún parche permanente. Microsoft desplegó una mitigación de emergencia el 14 de mayo, y CISA añadió el fallo a su catálogo de Vulnerabilidades Explotadas Conocidas al día siguiente, exigiendo a las agencias federales que lo remedien antes del 29 de mayo. Exchange Online no está afectado.

Qué hace CVE-2026-42897

CVE-2026-42897 es un fallo de secuencia de comandos entre sitios en el componente Outlook Web Access de Microsoft Exchange Server local, calificado CVSS 8.1. Un atacante envía un correo electrónico especialmente diseñado a un destinatario. Cuando el destinatario lo abre en OWA bajo ciertas condiciones de interacción, se ejecuta JavaScript arbitrario dentro de la sesión del navegador.

Microsoft clasifica la vulnerabilidad como un problema de suplantación de identidad originado en una neutralización de entrada inadecuada durante la generación de la página web. La ruta de ataque no requiere autenticación ni acceso al servidor. Comienza con una entrada.

Quién está afectado

El fallo afecta a Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition locales en cualquier nivel de actualización. Exchange Online no es vulnerable.

Exchange on-prem se sitúa en el centro del correo electrónico corporativo para gobiernos, instituciones financieras y empresas que no se han trasladado a la nube. El catálogo de Vulnerabilidades Explotadas Conocidas de CISA enumera ya casi dos docenas de fallos de Exchange Server, y los grupos de ransomware han abusado de varios de ellos para vulnerar objetivos. CVE-2026-42897 llegó sólo dos días después del martes de parches de mayo, que parcheó 120 vulnerabilidades pero no reveló ningún día cero en sus notas de publicación.

Mitigación del fallo

Microsoft desplegó una corrección temporal a través de su servicio Exchange Emergency Mitigation Serviceetiquetado M2.1.x. El EEMS aplica la mitigación automáticamente a través de la configuración de reescritura de URL en los servidores de buzones Exchange en los que el servicio está activado por defecto. Los administradores pueden verificar el estado utilizando el script Exchange Health Checker en aka.ms/ExchangeHealthChecker.

En el caso de los entornos desconectados o en los que EEMS no puede llegar a los servidores de Microsoft, los administradores deben descargar manualmente la última Herramienta de mitigación local de Exchange y ejecutarla a través de un Shell de administración de Exchange elevado. El comando se dirige a un único servidor o puede ejecutarse en toda la flota de Exchange a la vez.

Hay un problema estético que debe tener en cuenta. Algunos servidores mostrarán el estado de la mitigación como "Mitigación no válida para esta versión de Exchange" en el campo de descripción. Microsoft confirma que la corrección se ha aplicado correctamente en estos casos si la columna de estado indica "Aplicada". El texto mostrado es un error cosmético conocido que se está investigando.

Efectos secundarios de la corrección

La aplicación de la corrección tiene consecuencias funcionales. La función Imprimir calendario de OWA deja de funcionar una vez aplicada la mitigación. Las imágenes en línea ya no se muestran correctamente en los paneles de lectura de los destinatarios dentro de Outlook Web Access.

OWA Light, la interfaz heredada a la que se accede a través de una URL que termina en /?layout=light, también deja de funcionar después de que se aplique la mitigación. Microsoft dejó obsoleta la interfaz hace años y no la considera lista para producción, pero las organizaciones que aún la utilicen tendrán que dirigir a los usuarios a través de la URL estándar de OWA en su lugar.

Aún no hay parche permanente

Microsoft está desarrollando un parche permanente y no ha confirmado un calendario de lanzamiento. Cuando esté disponible, Exchange Server Subscription Edition lo recibirá a través del canal de actualización estándar. Exchange Server 2016 y 2019 sólo recibirán el parche permanente a través del programa de actualización de seguridad ampliada del periodo 2 de Microsoft.

Las organizaciones que ejecuten cualquiera de las versiones anteriores sin inscripción en ESU seguirán expuestas hasta que apliquen manualmente la mitigación de emergencia. CISA añadió CVE-2026-42897 al catálogo de Vulnerabilidades Explotadas Conocidas el 15 de mayo y requiere que las agencias del Poder Ejecutivo Civil Federal remedien antes del 29 de mayo. Microsoft no ha identificado a los actores de la amenaza detrás de los ataques activos ni ha revelado a qué organizaciones se dirigieron los atacantes.

El momento de CVE-2026-42897 se sitúa en el otro extremo del ciclo de vida de la vulnerabilidad desde el descubrimiento proactivo. El modelo MDASH AI de Microsoft identificó recientemente 16 fallos críticos de Windows antes de que los atacantes pudieran llegar a ellos, un enfoque de detección que CVE-2026-42897 eludió por completo.

Google LogoAdd as a preferred source on Google
Mail Logo

Artículos relacionados

> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 05 > Día cero de Microsoft Exchange Server explotado a través de un correo electrónico manipulado
Darryl Linington, 2026-05-17 (Update: 2026-05-17)