Se ha emitido una alerta crítica a nivel global tras la confirmación por parte de Microsoft de la explotación activa en la naturaleza de una vulnerabilidad Zero-Day en las implementaciones locales (on-premises) de Microsoft Exchange Server. El fallo, rastreado como CVE-2026-42897, permite a un atacante no autenticado ejecutar JavaScript arbitrario en la sesión del navegador de la víctima a través de Outlook Web Access (OWA). Para desencadenar el ataque, el adversario solo requiere enviar un correo electrónico especialmente diseñado que la víctima abra en su interfaz web.
Veredicto Analítico
- Estado: Confirmado (Clasificado por Microsoft como “Exploitation Detected”, confirmando ataques reales).
- Confianza: Alta (Respaldado por avisos oficiales de Microsoft y reportes de inteligencia de amenazas).
- Riesgo para SOC TDIR: Crítico. Al operar directamente en OWA y desencadenarse al renderizar el correo (sin requerir que el usuario haga clic en un enlace o descargue un adjunto malicioso), la vulnerabilidad elude los controles tradicionales de seguridad de correo (SEG). El secuestro de sesión permite al atacante pivotar internamente, exfiltrar datos e interceptar comunicaciones corporativas críticas.
- Urgencia operativa: Inmediata. Es mandatorio evaluar la aplicación de la herramienta de mitigación local (EOMT) para servidores Exchange expuestos, sopesando el impacto en la operatividad de los usuarios.
- Base del veredicto: Falla estructural de validación de entradas (Cross-Site Scripting / CWE-79) en la interfaz web más utilizada para el acceso remoto a correos corporativos.
Hallazgos Clave
- Componente y Versiones Afectadas: El fallo impacta a todos los niveles de actualización de Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition (SE). Es importante destacar que Exchange Online (Microsoft 365) NO está afectado.
- Vulnerabilidad Principal (CVE-2026-42897): Falla de suplantación (Spoofing) y Cross-Site Scripting (XSS) originada por la neutralización inadecuada de la entrada del usuario durante la generación de la página web en OWA.
- Vector de Activación: El ataque se entrega vía correo electrónico y el payload se activa silenciosamente en cuanto el contenido del mensaje es renderizado en la interfaz de Outlook Web Access.
- Impacto Directo: La ejecución exitosa de JavaScript permite al atacante realizar suplantación de correo (email spoofing), robo de credenciales, secuestro de sesión (session hijacking) y ejecutar acciones arbitrarias en nombre del usuario comprometido.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: Un atacante externo envía un mensaje de correo electrónico malformado a un buzón objetivo. Cuando el usuario inicia sesión legítimamente en OWA y hace clic para visualizar el correo, el servidor Exchange falla en sanitizar el contenido malicioso. El navegador del cliente ejecuta entonces el script inyectado bajo el contexto de confianza del dominio de OWA. Esto permite al script leer las cookies de sesión (como el token de autenticación) o interactuar con la API de Exchange Web Services (EWS) para crear reglas de reenvío maliciosas, descargar la bandeja de entrada o enviar correos de phishing internos.
TTPs (MITRE ATT&CK):
- Acceso Inicial: Phishing / Correo electrónico armado (Phishing: Spearphishing Link/Attachment bypass).
- Ejecución: Ejecución de código del lado del cliente (User Execution / Cross-Site Scripting).
- Impacto y Persistencia: Robo de tokens web y manipulación de reglas de bandeja de entrada (Steal Web Session Cookie / Email Collection / Forwarding Rules).
- Contexto de la Amenaza: Los servidores Exchange on-premises siguen siendo un objetivo de “Nivel 0” para actores APT (Amenazas Persistentes Avanzadas). A diferencia de ataques como ProxyLogon que apuntaban al servidor directamente, este Zero-Day ataca al cliente a través del servidor, dificultando la detección perimetral pura.
Recomendaciones Operativas
Para Administradores de Sistemas / Infraestructura (Acción Inmediata)
- Aplicación de Mitigación (EOMT / EM Service): Si no hay un parche definitivo disponible de inmediato para su CU (Cumulative Update), aplicar la mitigación a través del Exchange On-premises Mitigation Tool (EOMT).
- Nota Operativa de Riesgo: Microsoft advierte que aplicar esta mitigación degradará o romperá ciertas características de OWA, incluyendo: impresión de calendarios, visualización de imágenes inline en el panel de lectura, el uso de OWA Light, calendarios publicados y el health set del proxy OWACalendar (lo que podría disparar falsas alarmas en sistemas de monitoreo como SCOM).
- Aislamiento Temporal de OWA: Si el negocio lo permite y el riesgo es inaceptable, evaluar la restricción temporal del acceso a OWA desde Internet público, forzando a los usuarios a conectarse exclusivamente mediante clientes de escritorio (Outlook MAPI/RPC) o dispositivos móviles (ActiveSync), ya que Microsoft señala que los accesos que NO son vía OWA no se ven afectados.
Para el SOC (Monitoreo y Detección)
- Monitoreo de Anomalías de Sesión (Session Hijacking): Correlacionar los logs de acceso de IIS (Internet Information Services) en los servidores Exchange buscando múltiples direcciones IP distintas interactuando con el mismo ID de sesión de usuario en un periodo de tiempo muy corto (indicador de que la cookie fue robada y usada por el atacante).
- Supervisión de Reglas de Buzón: Configurar alertas de prioridad crítica para la creación de nuevas reglas de bandeja de entrada (Inbox Rules) vía OWA/EWS, especialmente aquellas configuradas para reenviar correos al exterior o mover mensajes con palabras clave (ej. “transferencia”, “factura”, “password”) a la carpeta de RSS o Elementos Eliminados (táctica común de evasión).
Para CTI (Inteligencia de Amenazas)
- Análisis de Artefactos de Correo: Al rastrear correos sospechosos que no contengan enlaces o adjuntos obvios, el equipo de CTI debe examinar el código fuente HTML/MIME del mensaje en busca de etiquetas <iframe>, <script> o atributos de eventos (onerror, onload) anómalos o fuertemente ofuscados que intenten abusar del renderizado en OWA.
