Zero-day a Microsoft Exchange OWA sota atac actiu: com mitigar CVE-2026-42897 ara mateix mentre s’espera el pedàç

Els administradors d’Exchange on-premise que han arribat avui a l’oficina tenen una tasca urgent a la llista. Microsoft ha confirmat l’explotació activa de CVE-2026-42897, un zero-day a l’Outlook Web Access (OWA) d’Exchange Server que permet a un atacant no autenticat executar JavaScript maliciós al navegador de qualsevol usuari que obri un correu especialment construït. No hi ha pedàç permanent disponible. L’única defensa avui és la mitigació d’emergència que Microsoft va desplegar el 14 de maig. La CISA el va afegir al catàleg KEV el 15 de maig amb termini de remediació federal el 29 de maig.

‍

Què se sap del zero-day CVE-2026-42897 a Microsoft Exchange?

• Vulnerabilitat: cross-site scripting (XSS) a l’Outlook Web Access (OWA) d’Exchange Server on-premise. Microsoft la classifica com a vulnerabilitat de spoofing.
• CVSS 8.1 — l’atacant no necessita autenticació prèvia ni accés al servidor. L’atac comença en una bastía d’entrada.
• Versions afectades: Exchange Server 2016, Exchange Server 2019 i Exchange Server Subscription Edition (SE). Exchange Online i Microsoft 365 NO estan afectats.
• Vector d’atac: correu especialment construït → usuari l’obre a OWA → JavaScript maliciós s’executa al context del navegador de la víctima → session hijacking, robatori de credencials, accés al correu i moviment lateral.
• Timing: va aflórar 48 hores després del Patch Tuesday de maig de 2026, que va pedacar 137 vulnerabilitats sense cap zero-day a les seves notes de llançament.
• Explotació activa confirmada: Microsoft ha confirmat atacs reals però no ha revelat detalls sobre els actors ni les organitzacions objectiu.
• CISA KEV: afegit el 15 de maig. Termini federal: 29 de maig de 2026.
• Sense pedàç permanent: en preparació per a Exchange SE RTM, Exchange 2016 CU23 i Exchange 2019 CU14/CU15. Els pedàços per a 2016 i 2019 només estaran disponibles per a clients amb Extended Security Updates (ESU).

‍

Per què Exchange on-premise és l’objectiu de màxima prioritat per als atacants

1. Accés directe a comunicacions internes d’alt valor. Qui compromet Exchange accedeix a tot el correu corporatiu: converses executives, credencials enviades per correu, documents sensibles i configuracions d’accés remot.
2. Vector de moviment lateral de baix soroll. Un Exchange comprometès permet enviar correus interns aparentment legítims, crear regles de bústia que exfiltrin correu en silènci i pivotar cap a altres sistemes de la xarxa.
3. Persistència d’alta durabilitat. Els servidors Exchange rarament es reinicien, els seus logs estàn menys monitorats que els d’un controlador de domini i les regles de bústia malicioses poden sobreviure mesos sense detecció.
4. Historial d’explotació massiva. ProxyLogon i ProxyShell van comprometre desenes de milers de servidors a tot el món. El catàleg KEV de la CISA ja llista gairebé dues dotzenes de CVEs d’Exchange. CVE-2026-42897 segueix el mateix patró.

‍

Com funciona aquest atac: del correu al comproms del servidor

1. Correu amb payload XSS preparat: el correu conté contingut HTML especialment construït amb el payload JavaScript maliciós, aprofitant la falta de neutralització adequada d’inputs en la generació de la pàgina d’OWA.
2. Lliurament a la bústia d’entrada: no es requereix cap accés previ al servidor. El canal de lliurament és el propi sistema de correu corporatiu.
3. Apertura a OWA: en renderitzar el missatge al navegador, sota certes condicions d’interacció, JavaScript arbitrari s’executa al context de la sessió OWA activa de la víctima.
4. Accés a la sessió autenticada: l’atacant pot robar tokens de sessió, llegir i exfiltrar correus, crear regles de bústia malicioses (forwarding silenciós a compte extern) i executar accions en nom de la víctima dins d’OWA.
5. Post-explotació: NTLM relay, accés a directoris interns i moviment lateral cap a altres sistemes de la xarxa corporativa.

‍

Lliçons clau i checklist de mitigació: què ha de fer el teu equip ara mateix

Pas 1 — Verificar exposició (immediat)

• Confirmar quines versions d’Exchange Server on-premise té la teva organització. Totes estan afectades.
• Verificar si OWA és accessible des d’internet. Com més gran l’exposició pública, més gran la urgència.
• Comprovar si l’Exchange Emergency Mitigation Service (EEMS) està habilitat des de l’Exchange Admin Center o PowerShell.

Pas 2 — Mitigació A: EEMS (recomanada, automàtica)

• EEMS està habilitat per defecte a Exchange 2016, 2019 i SE. Si està habilitat, Microsoft desplega automàticament la mitigació M2.1.x via URL rewrite al servidor.
• Per verificar que s’ha aplicat correctament: executar l’Exchange Health Checker disponible a aka.ms/ExchangeHealthChecker
• Si EEMS estava deshabilitat: habilitar-lo ara via PowerShell: Set-ExchangeDiagnosticsInfo -Server [Servidor] -Process MSExchangeServiceHost -Component MitigationService -Enabled $true

Pas 3 — Mitigació B: EOMT.ps1 per a entorns air-gapped o sense EEMS

• Descarregar la darrera versió de l’Exchange On-premises Mitigation Tool (EOMT) i executar-la des d’una consola Exchange Management Shell elevada.
• Un servidor: .​EOMT.ps1 -CVE “CVE-2026-42897”
• Tota la flota: Get-ExchangeServer | Where-Object { $_.ServerRole -ne “Edge” } | .​EOMT.ps1 -CVE “CVE-2026-42897”

Pas 4 — Efectes secundaris coneguts (comunicar als usuaris)

• OWA Print Calendar pot no funcionar. Alternativa: captura de pantalla o Outlook Desktop.
• Imatges en línia al panell de lectura d’OWA poden no mostrar-se correctament. Alternativa: adjuntar imatges o fer servir Outlook Desktop.
• OWA light (URL amb ?layout=light) no funciona — funcionalitat deprecada, sense impacte en producció habitual.

Pas 5 — Monitoratge (aquesta setmana)

• Activar alertes al SIEM sobre trànsit inusual a OWA i peticions amb paràmetres URL sospitosos.
• Revisar logs d’OWA dels darrers 7 dies cercant sol·licituds anòmales que puguin indicar intents d’explotació previs a la mitigació.
• Cercar regles de bústia creades recentment que redirigeixi correu a adreces externes no reconegudes.

Pas 6 — Pla de pedàços (29 de maig com a data de referència)

• Preparar finestra d’actualització per aplicar el pedàç permanent quan estigui disponible per a la teva versió.
• Per a Exchange 2016 i 2019: verificar la inscripció a Extended Security Updates (ESU).
• Fer servir el 29 de maig com a data límit per tenir la mitigació verificada i el pla de pedàços documentat.

‍

La ciberseguretat com a prioritat estratègica

CVE-2026-42897 és l’enèssim zero-day d’Exchange sota explotació activa en menys de cinc anys. El patró és invariable: Exchange on-premise concentra accés a comunicacions corporatives d’alt valor, està exposat a internet en milers d’organitzacions i els seus cicles de pedàços són lents. Aquesta combinació el converteix en objectiu permanent de primer ordre.

Per a les organitzacions espanyoles que mantenen Exchange on-premise — especialment administracions públiques, entitats financeres i pimes del sector serveis —, la mitigació d’avui és obligatòria. El pla de pedàços de demà, també.

‍

Apolo Cybersecurity: protecció d’entorns Exchange on-premise i resposta davant zero-days actius

A Apolo Cybersecurity ajudem organitzacions amb Exchange on-premise a verificar l’estat d’EEMS, aplicar EOMT, revisar regles de bústia sospitoses, detectar activitat post-explotació a Exchange i planificar el pedàç permanent quan estigui disponible.

Si la teva organització manté Exchange on-premise i no tens certesa que la mitigació M2.1.x s’ha aplicat correctament, aquest dilluns al matí és el moment de verificar-ho. No el dimarts.

‍