Microsoft parcheó en junio de 2026 una vulnerabilidad de Exchange Server, CVE-2026-42897, que ya se estaba usando en ataques antes de que saliera el parche definitivo. El fallo está en Outlook Web Access (OWA), la interfaz web del correo, y se cataloga como spoofing con consecuencias de cross-site scripting.
Qué falla exactamente
La idea del ataque es sencilla y por eso preocupa. Un atacante remoto, sin autenticarse, envía un correo especialmente construido. Si la víctima abre ese mensaje en OWA y se dan ciertas condiciones de interacción, se ejecuta JavaScript arbitrario en el contexto del navegador. No hace falta que el destinatario sea administrador ni que tenga privilegios especiales: basta con que use la webmail.
Ejecutar JavaScript en la sesión de OWA de otra persona abre la puerta a robar tokens de sesión, leer correo, suplantar al usuario dentro de la interfaz o encadenar el fallo con otros para llegar más lejos. Microsoft lo clasificó como de gravedad alta.
A quién afecta
El problema toca a las versiones que siguen soportadas:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition (SE)
Es decir, cualquier organización que mantenga su propio Exchange on-premise con OWA expuesto. Los buzones en Exchange Online (Microsoft 365) van por otro camino de actualización gestionado por Microsoft.
Por qué importa que sea zero-day
Lo relevante no es solo el tipo de bug, sino que se detectó explotación real antes de tener parche. Microsoft activó a mediados de mayo una mitigación temporal automática a través del Exchange Emergency Mitigation Service (EEMS), el mecanismo que despliega contramedidas en servidores Exchange sin esperar a la actualización completa. CISA añadió CVE-2026-42897 a su catálogo de Known Exploited Vulnerabilities el 15 de mayo de 2026 y dio a las agencias federales de EE. UU. un plazo de 14 días para corregirlo. Las actualizaciones de seguridad definitivas llegaron en junio.
Exchange arrastra un historial largo en este apartado: es uno de los productos con más entradas en el catálogo KEV de CISA, y varios de esos fallos han terminado siendo munición para grupos de ransomware.
Qué hacer
La recomendación de Microsoft es directa: instala las actualizaciones de seguridad de junio de 2026 para tu versión de Exchange cuanto antes. Mientras tanto, conviene mantener activas las mitigaciones del EEMS como capa extra. Si administras un Exchange propio, revisa que el servicio de mitigación de emergencia esté habilitado, porque es lo que ha estado conteniendo el ataque antes del parche.
Para quien gestione infraestructura Windows Server, junio de 2026 fue un mes cargado: este Exchange llegó pegado al Patch Tuesday récord con cerca de 200 CVE, así que merece la pena planificar el despliegue completo y no parchear este fallo de forma aislada.
Fuente
- BleepingComputer: Microsoft patches Exchange Server zero-day exploited in attacks
- NVD: CVE-2026-42897