Exchange Server on-prem vuelve al radar con zero-day en explotación activa
CVE-2026-42897 permite la ejecución de JavaScript a través de un correo electrónico abierto en Outlook Web Access. CISA exigió corrección hasta el 29 de mayo. La falla afecta a Exchange Server 2016, 2019 y Subscription Edition, pero no afecta a Exchange Online.
Microsoft confirmó esta semana la explotación activa de la CVE-2026-42897, vulnerabilidad de cross-site scripting en el Exchange Server on-premises divulgada el 15 de mayo. La falla permite que un atacante envíe un correo electrónico especialmente formado que, al ser abierto en Outlook Web Access bajo ciertas condiciones de interacción, ejecuta JavaScript arbitrario en el contexto del navegador de la víctima.
La puntuación CVSS es 8.1, clasificada como spoofing. La CISA agregó la CVE al catálogo de Known Exploited Vulnerabilities al día siguiente de la divulgación, con plazo hasta el 29 de mayo para que las agencias federales apliquen mitigaciones.
Quién está expuesto
La vulnerabilidad afecta a todas las versiones on-premises actualmente soportadas: Exchange Server 2016, Exchange Server 2019 y la recién lanzada Subscription Edition. Exchange Online, hospedado por la propia Microsoft, no se ve afectado. La distinción concentra el riesgo en organizaciones que han mantenido el correo corporativo en infraestructura propia, frecuentemente por motivos de soberanía, costo o requisitos regulatorios.
La corrección definitiva aún no ha sido publicada. Microsoft recomienda activar el Exchange Emergency Mitigation Service, habilitado por defecto en instalaciones actualizadas, o aplicar manualmente el Exchange on-premises Mitigation Tool a través de PowerShell. Ninguna de las opciones elimina la vulnerabilidad; solo reduce la superficie de ataque hasta que se lance el parche oficial.
La continuidad del problema Exchange on-prem
El caso refuerza un patrón observado desde la campaña Hafnium en 2021: los servidores Exchange on-premises continúan siendo un objetivo prioritario en campañas de espionaje y ataques dirigidos. Microsoft no ha divulgado nombres de actores involucrados ni geografía de las víctimas, postura habitual cuando aún existe actividad ofensiva mapeada.
Para equipos de seguridad en consultorías y clientes corporativos, la pregunta operacional inmediata es si las mitigaciones temporales están efectivamente activas en todos los servidores. La pregunta estratégica, más antigua, sigue siendo la misma: ¿la ecuación costo-beneficio de mantener Exchange on-prem en 2026 aún cierra, considerando el historial de zero-days críticos del producto y la madurez de las ofertas hospedadas? Cada ola como esta empuja parte del mercado restante a migración, y proveedores de servicios gestionados han aprovechado estos momentos para acelerar proyectos de transición.