Se ha emitido un boletín de emergencia táctica para las organizaciones que mantienen despliegues locales (on-premises) de la infraestructura de correo de Microsoft. CISA y Microsoft han confirmado la explotación activa en estado salvaje de una vulnerabilidad Zero-Day de alta severidad (CVE-2026-42897, CVSS 8.1) que afecta a la interfaz de Outlook Web Access (OWA). La ausencia de un parche de seguridad definitivo al momento de esta alerta exige una postura defensiva inmediata para neutralizar un vector de acceso altamente viable que ya está siendo aprovechado por adversarios para eludir controles perimetrales.
Anatomía de la Amenaza (Modelado de TTP y Ejecución)
El análisis de inteligencia revela un vector de ataque que instrumentaliza la interacción del usuario para comprometer la sesión, evadiendo los filtros de malware tradicionales:
- Vector de Entrega y Señuelo: El actor de amenazas diseña y distribuye un correo electrónico meticulosamente manipulado hacia un buzón alojado en un Exchange local (afectando las versiones 2016, 2019 y Subscription Edition).
- Explotación en el Lado del Cliente (CWE-79): La vulnerabilidad radica en una neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting). El ataque se detona exclusivamente si la víctima abre el correo electrónico a través del cliente web de la organización (OWA) y cumple “ciertas condiciones de interacción”.
- Ejecución y Control de Contexto: Al cumplirse la condición, el entorno de Exchange falla en sanitizar la carga útil, permitiendo la ejecución de código JavaScript arbitrario y hostil de manera completamente transparente en el contexto de la sesión autenticada del navegador del usuario.
Impacto (Riesgo Estratégico y Superficie de Exposición)
Desde una perspectiva de gobierno corporativo y evaluación de riesgos, esta vulnerabilidad representa una amenaza sistémica para la confidencialidad de la identidad:
- Secuestro de Identidad (Session Hijacking): La ejecución de JavaScript arbitrario permite al adversario robar tokens o cookies de sesión activos. Esto facilita un acceso persistente al buzón corporativo, eludiendo la Autenticación Multifactor (MFA) configurada, lo que habilita campañas subsecuentes de Compromiso de Correo Empresarial (BEC) o la exfiltración de propiedad intelectual.
- Reducción de Riesgo Asimétrico (Cloud vs. On-Prem): Este incidente reafirma la deuda técnica asociada a la infraestructura local. Microsoft ha confirmado que las arquitecturas en la nube (Exchange Online / Microsoft 365) NO son vulnerables a este ataque. Las organizaciones que aún exponen sus interfaces OWA a la Internet pública asumen la totalidad del riesgo operativo.
Recomendaciones y Mitigación (Contención Inmediata):
Dada la carencia actual de un parche oficial, los equipos de Operaciones de Seguridad (SOC) y Administración de Infraestructura deben ejecutar el siguiente plan de contención:
- Validación de Mitigación Automatizada (EEMS): Es crítico verificar que el Servicio de Mitigación de Emergencia de Exchange (Exchange Emergency Mitigation Service o EEMS) haya aplicado correctamente la regla de reescritura de URL en IIS (Mitigación M2.1.0). Los administradores deben confirmar el estado ejecutando el comando PowerShell: Get-OrganizationConfig | ft MitigationsEnabled (debe retornar “True”).
- Mitigación Manual y Aceptación de Degradación: Para los servidores aislados sin comunicación externa con EEMS, se debe ejecutar inmediatamente el Exchange On-premises Mitigation Tool (EOMT). El negocio debe ser informado de que esta regla de contención podría degradar temporalmente ciertas funcionalidades operativas de OWA, como la visualización de imágenes en línea o la impresión de calendarios.
- Threat Hunting Retrospectivo (Asumir la Brecha): La simple aplicación de reglas de reescritura detiene el sangrado, pero no constituye una respuesta a incidentes completa. Los analistas de CTI deben instruir a sus equipos para extraer los registros de acceso de OWA (OWA access logs) de las últimas 72 a 96 horas y ejecutar una cacería activa buscando patrones de interacción inusuales o cargas útiles de JavaScript que hayan impactado la red antes de la divulgación oficial del CVE.
