Patch Tuesday cierra vulnerabilidad de Exchange explorada en la naturaleza y SAP corrige SAML con CVSS 9,9

La ventana de exposición de Exchange duró 26 días

Microsoft liberó este martes el Patch Tuesday de junio, y la pieza más urgente del paquete es la corrección definitiva para CVE-2026-42897. La vulnerabilidad afecta a Exchange Server 2016, 2019 y Subscription Edition en implementaciones on-premises y fue divulgada el 14 de mayo, dos días después del Patch Tuesday de mayo. Desde entonces, atacantes la han explotado en la naturaleza.

La falla es un cross-site scripting en Outlook Web Access. El atacante envía un correo electrónico con un payload específico y, cuando el destinatario abre el mensaje en OWA, el código se ejecuta en el navegador de la víctima con privilegios de la sesión de Exchange. Microsoft 365 y Exchange Online no están afectados; el problema es exclusivo de las implementaciones on-premises. El Exchange Emergency Mitigation Service, activo por defecto, ha estado proporcionando contención automática en las últimas tres semanas, pero la empresa confirma que solo la actualización de este martes cierra el vector.

Paralelamente, SAP divulgó su propio Security Patch Day con quince notas. La más crítica es CVE-2026-44748, debilidad de signature wrapping en XML SAML que recibió un CVSS de 9,9. Un atacante autenticado con privilegios ordinarios puede obtener un mensaje firmado válido, lo que abre el camino para la suplantación en sistemas que confían en assertions SAML. SAP también corrigió CVE-2026-27671, corrupción de memoria en el kernel ABAP del Application Server explotable sin autenticación mediante una solicitud RFC malformada.

El objetivo es la columna vertebral corporativa

La combinación de los tres CVEs incomoda exactamente donde duele. Exchange on-premises aún alberga correos electrónicos y calendarios de bancos, despachos de abogados, hospitales y gobiernos que han postergado la migración a Microsoft 365 por razones de soberanía de datos o contratos heredados. SAP S/4HANA y los módulos ECC tradicionales sustentan ERPs de casi todas las empresas Fortune 500. Un signature wrapping en SAML rompe la confianza entre módulos federados, que es exactamente el vector que los invasores buscan en entornos donde Active Directory y SAP IdP operan en paralelo.

Para el CISO, hay dos plazos paralelos para administrar esta semana. El parche de Exchange necesita ser implementado antes de que los agentes que ya explotan CVE-2026-42897 noten el fin de la ventana de mitigación y aceleren la campaña. El parche de SAP, por su parte, requiere una ventana de mantenimiento más prolongada debido al impacto en producción. Las notas del Application Server ABAP exigen pruebas de regresión antes de aplicar en entornos Tier 1, y la naturaleza no autenticada de CVE-2026-27671 presiona por un despliegue rápido.

Dos mercados que necesitan coordinar respuesta

La combinación importa más en geografías con una base instalada relevante de Exchange on-premises y SAP. Alemania está expuesta en ambos ejes: el BSI, autoridad federal de seguridad, históricamente recomienda cautela en la migración de correo a la nube en sectores como salud y órganos federales, y la base SAP alemana es la mayor del mundo por ingresos del proveedor. Japón tiene un perfil parecido en manufactura y finanzas, con Mizuho y MUFG operando S/4HANA en entornos híbridos que combinan SAP y Exchange on-premises para segregación regulatoria.

Brasil entra por el flanco bancario y gubernamental. La base SAP en grandes bancos y operaciones de telecomunicaciones locales es una de las más profundas de América Latina, y la proporción de Exchange on-premises en órganos federales y tribunales sigue por encima de la media global. La combinación de los tres CVEs en un único Patch Tuesday fuerza a CIO y CISO a rediseñar el ranking de ventana de mantenimiento para la próxima quincena, con Active Directory y SAP IdP en la parte superior de la lista.

El detalle que aún no tiene dueño

Microsoft, en un comunicado, no atribuyó la campaña de explotación de CVE-2026-42897 a un actor específico. CISA y el NCSC británico tampoco publicaron alerta de atribución hasta el cierre de este artículo. El silencio sugiere que la investigación aún está en curso y que las agencias prefieren no comprometer la recolección antes de que el patch sea desplegado en masa. Para el equipo de detección, vale asumir la hipótesis más costosa: el exploit ya está empaquetado en frameworks comerciales de offensive security y aparecerá en campañas oportunistas en los próximos diez días.