Zero-day en Microsoft Exchange OWA bajo ataque activo: cómo mitigarlo ahora mismo mientras esperas el parche

Los administradores de Exchange on-premise que han llegado hoy a la oficina tienen una tarea urgente en su lista. Microsoft ha confirmado la explotación activa de CVE-2026-42897, un zero-day en Outlook Web Access (OWA) de Exchange Server que permite a un atacante no autenticado ejecutar JavaScript malicioso en el navegador de cualquier usuario que abra un email especialmente construido. No hay parche permanente disponible. La única defensa hoy es la mitigación de emergencia que Microsoft desplegó el 14 de mayo. CISA lo añadió al catálogo KEV el 15 de mayo con plazo de remediación federal el 29 de mayo.

‍

¿Qué se sabe del zero-day CVE-2026-42897 en Microsoft Exchange?

• Vulnerabilidad: cross-site scripting (XSS) en Outlook Web Access (OWA) de Exchange Server on-premise. Microsoft la clasifica como vulnerabilidad de spoofing.
• CVSS 8.1 — el atacante no necesita autenticación previa ni acceso al servidor. El ataque empieza en una bandeja de entrada.
• Versiones afectadas: Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition (SE). Exchange Online y Microsoft 365 NO están afectados.
• Vector: email especialmente construido → usuario lo abre en OWA → JavaScript malicioso se ejecuta en el contexto del navegador de la víctima → session hijacking, robo de credenciales, acceso a correo y movimiento lateral.
• Timing: afló 48 horas después del Patch Tuesday de mayo 2026, que parcheó 137 vulnerabilidades sin ningún zero-day en sus notas de lanzamiento.
• Explotación activa confirmada: Microsoft confirmó ataques reales pero no ha revelado detalles sobre los actores ni las organizaciones objetivo.
• CISA KEV: añadido el 15 de mayo. Plazo federal: 29 de mayo de 2026.
• Sin parche permanente: en preparación para Exchange SE RTM, Exchange 2016 CU23 y Exchange 2019 CU14/CU15. Parches para 2016 y 2019 solo para clientes con Extended Security Updates (ESU).

‍

Por qué Exchange on-premise es objetivo de máxima prioridad para los atacantes

1. Acceso directo a comunicaciones internas de alto valor. Quien compromete Exchange accede a todo el correo corporativo: conversaciones ejecutivas, credenciales enviadas por email, documentos sensibles y configuraciones de acceso remoto.
2. Vector de movimiento lateral de bajo ruido. Un Exchange comprometido permite enviar emails internos aparentemente legítimos, crear reglas de buzón que exfiltren correo en silencio y pivotar hacia otros sistemas de la red.
3. Persistencia de alta durabilidad. Los Exchange servers raramente se reinician, sus logs son menos monitorizados que los de un controlador de dominio y las reglas de buzón maliciosas pueden sobrevivir meses sin detección.
4. Historial de explotación masiva. ProxyLogon y ProxyShell comprometieron decenas de miles de servidores en todo el mundo. El catálogo KEV de CISA lista ya casi dos docenas de CVEs de Exchange. CVE-2026-42897 sigue ese patrón.

‍

Cómo funciona este ataque: del email al compromiso del servidor

1. Email con payload XSS preparado: el email contiene contenido HTML especialmente construido con el payload JavaScript malicioso, aprovechando la falta de neutralización adecuada de inputs en la generación de la página de OWA.
2. Entrega en la bandeja de entrada: no se requiere ningún acceso previo al servidor. El canal de entrega es el propio sistema de correo corporativo.
3. Apertura en OWA: al renderizar el mensaje en el navegador, bajo ciertas condiciones de interacción, JavaScript arbitrario se ejecuta en el contexto de la sesión OWA activa de la víctima.
4. Acceso a la sesión autenticada: el atacante puede robar tokens de sesión, leer y exfiltrar correos, crear reglas de buzón maliciosas (forward silencioso a cuenta externa) y ejecutar acciones en nombre de la víctima dentro de OWA.
5. Post-explotación: NTLM relay, acceso a directorios internos y movimiento lateral hacia otros sistemas de la red corporativa.

‍

Lecciones clave y checklist de mitigación: qué debe hacer tu equipo ahora mismo

Paso 1 — Verificar exposición (inmediato)

• Confirmar qué versiones de Exchange Server on-premise tiene tu organización. Todas están afectadas.
• Verificar si OWA está accesible desde internet. Cuanto mayor la exposición pública, mayor la urgencia.
• Comprobar si el Exchange Emergency Mitigation Service (EEMS) está habilitado desde el Exchange Admin Center o PowerShell.

Paso 2 — Mitigación A: EEMS (recomendada, automática)

• EEMS está habilitado por defecto en Exchange 2016, 2019 y SE. Si está habilitado, Microsoft despliega automáticamente la mitigación M2.1.x via URL rewrite en el servidor.
• Para verificar que se ha aplicado correctamente: ejecutar el Exchange Health Checker disponible en aka.ms/ExchangeHealthChecker
• Si EEMS estaba deshabilitado: habilitarlo ahora via PowerShell: Set-ExchangeDiagnosticsInfo -Server [Servidor] -Process MSExchangeServiceHost -Component MitigationService -Enabled $true

Paso 3 — Mitigación B: EOMT.ps1 para entornos air-gapped o sin EEMS

• Descargar la última versión del Exchange On-premises Mitigation Tool (EOMT) y ejecutarla desde Exchange Management Shell elevado.
• Un servidor: .​EOMT.ps1 -CVE “CVE-2026-42897”
• Toda la flota: Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .​EOMT.ps1 -CVE “CVE-2026-42897”

Paso 4 — Efectos secundarios conocidos (comunicar a los usuarios)

• OWA Print Calendar puede no funcionar. Alternativa: captura de pantalla o Outlook Desktop.
• Imágenes inline en el panel de lectura de OWA pueden no mostrarse correctamente. Alternativa: adjuntar imágenes o usar Outlook Desktop.
• OWA light (URL con ?layout=light) no funciona — funcionalidad deprecada, sin impacto en producción habitual.

Paso 5 — Monitorización (esta semana)

• Activar alertas en SIEM sobre tráfico inusual en OWA y peticiones con parámetros URL sospechosos.
• Revisar logs de OWA de los últimos 7 días en busca de solicitudes anómalas que puedan indicar intentos de explotación previos a la mitigación.
• Buscar reglas de buzón creadas recientemente que redirijan correo a direcciones externas no reconocidas.

Paso 6 — Plan de parcheo (29 mayo como fecha de referencia)

• Preparar ventana de actualización para aplicar el parche permanente en cuanto esté disponible para tu versión.
• Para Exchange 2016 y 2019: verificar inscripción en Extended Security Updates (ESU).
• Usar el 29 de mayo como fecha límite para tener mitigación verificada y plan de parcheo documentado.

‍

La ciberseguridad como prioridad estratégica

CVE-2026-42897 es el ensésimo zero-day de Exchange bajo explotación activa en menos de cinco años. El patrón es invariable: Exchange on-premise concentra acceso a comunicaciones corporativas de alto valor, está expuesto a internet en miles de organizaciones y sus ciclos de parcheo son lentos. Esa combinación lo convierte en objetivo permanente de primer orden.

Para las organizaciones españolas que mantienen Exchange on-premise — especialmente administraciones públicas, entidades financieras y pymes del sector servicios —, la mitigación de hoy es obligatoria. El plan de parcheo de mañana, también.

‍

Apolo Cybersecurity: protección de entornos Exchange on-premise y respuesta ante zero-days activos

En Apolo Cybersecurity ayudamos a organizaciones con Exchange on-premise a verificar el estado de EEMS, aplicar EOMT, revisar reglas de buzón sospechosas, detectar actividad post-explotación en Exchange y planificar el parcheo permanente en cuanto esté disponible.

Si tu organización mantiene Exchange on-premise y no tienes certeza de que la mitigación M2.1.x se ha aplicado correctamente, este lunes por la mañana es el momento de verificarlo. No el martes.

‍