Microsoft ha revelado una nueva vulnerabilidad de seguridad que afecta a las versiones locales de Exchange Server y que, según dijo, ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-42897 (Puntuación CVSS: 8,1), se ha descrito como un error de suplantación de identidad derivado de una falla de secuencias de comandos entre sitios. A un investigador anónimo se le atribuye el mérito de descubrir e informar el problema.
«La neutralización inadecuada de la entrada durante la generación de páginas web (‘cross-site scripting’) en Microsoft Exchange Server permite a un atacante no autorizado realizar suplantación de identidad en una red», dijo el gigante tecnológico en un aviso el jueves.
Microsoft, que etiquetó la vulnerabilidad con una evaluación de «Explotación detectada», dijo que un atacante podría convertirla en un arma enviando un correo electrónico manipulado a un usuario que, cuando se abre en Outlook Web Access y está sujeto a otras «ciertas condiciones de interacción», puede permitir que se ejecute código JavaScript arbitrario en el contexto del navegador web.
Redmond también señaló que está proporcionando una mitigación temporal a través de su Servicio de Mitigación de Emergencia de Exchange, mientras prepara una solución permanente para el defecto de seguridad.
El servicio de mitigación de emergencias de Exchange proporcionará la mitigación automáticamente mediante una configuración de reescritura de URL y está habilitado de forma predeterminada. No está activado, se recomienda a los usuarios habilitar el servicio de Windows.
Según Microsoft, Exchange Online no se ve afectado por esta vulnerabilidad. Las siguientes versiones locales de Exchange Server se ven afectadas:
- Exchange Server 2016 (cualquier nivel de actualización)
- Exchange Server 2019 (cualquier nivel de actualización)
- Exchange Server Subscription Edition (SE) (cualquier nivel de actualización)
Si utilizar el Servicio de mitigación de emergencias de Exchange no es una opción debido a restricciones de espacio aéreo, la compañía ha descrito la siguiente serie de acciones:
- Descargue la última versión de la herramienta de mitigación local (EOMT) de Exchange desde también conocido como(.)ms/UnifiedEOMT.
- Aplique la mitigación por servidor o en todos los servidores a la vez ejecutando el script a través de un Shell de administración de Exchange (EMS) elevado:
- Servidor único: .EOMT.ps1 -CVE «CVE-2026-42897»
- Todos los servidores: Get-ExchangeServer | Donde-Objeto { $_.ServerRole -ne «Borde» } | .EOMT.ps1 -CVE «CVE-2026-42897»
Microsoft dijo que también está al tanto de un problema conocido en el que la mitigación muestra «Mitigación no válida para esta versión de Exchange» en el campo Descripción. «Este problema es cosmético y la mitigación SÍ se aplica exitosamente si el estado se muestra como ‘Aplicado'», afirmó el equipo de Exchange. «Estamos investigando cómo abordar esto».
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad, la identidad del actor de la amenaza detrás de la actividad o la escala de dichos esfuerzos. Tampoco está claro quiénes son los objetivos y si alguno de esos ataques tuvo éxito. Mientras tanto, se recomienda aplicar las mitigaciones recomendadas por Microsoft.