Microsoft Exchange bajo ataque: un 0-day sin parche que se explota con un simple mail

Pablo Ariel Di Loreto / / 2 minutos de lectura
Concepto de seguridad de correo electrónico bajo ataque

Esta es de las que te arruinan la semana si tenés Exchange on-premise. BleepingComputer reporta que Microsoft confirmó un zero-day en Exchange Server (CVE-2026-42897) que ya se está explotando activamente — y, al día de hoy, todavía no hay parche disponible.

Lo cuento corto y sin vueltas, porque si administrás un Exchange propio esto es para mirarlo hoy, no la semana que viene.

Qué es y por qué duele

Es una vulnerabilidad de tipo spoofing que termina permitiendo ejecución de JavaScript arbitrario en el contexto del navegador (un XSS, en criollo) cuando la víctima abre un mail especialmente armado en Outlook on the web (OWA). El vector es el mail: no hace falta mucho más.

Versiones afectadas:

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition (SE)

Microsoft confirma explotación activa, aunque todavía no atribuyó los ataques a ningún grupo ni dio detalles de la campaña.

Qué hacer mientras no haya parche

  • EEMS (Exchange Emergency Mitigation Service): si lo tenés prendido, aplica las mitigaciones interinas solo. Es el camino más rápido.
  • EOMT (Exchange On-premises Mitigation Tool): para correrlas a mano desde el Exchange Management Shell con permisos elevados.

Ojo con la letra chica: mitigar tiene costo funcional. Se rompe la impresión de calendarios, las imágenes inline no se ven bien en el panel de lectura de OWA, y la interfaz “OWA light” deja de andar. Es un precio razonable frente a dejar el server expuesto, pero avisales a los usuarios antes de que lluevan los tickets.

Desde mi punto de vista

Hace rato que vengo diciendo lo mismo: el Exchange on-premise es una superficie de ataque que no para de dar dolores de cabeza. Si todavía tenés correo propio por una razón de peso —compliance, soberanía del dato, lo que sea—, perfecto, pero entonces el monitoreo y el parcheo no son opcionales: son parte del costo de tenerlo. Y si lo tenés “porque siempre fue así”, este es un buen recordatorio de que migrar también es una decisión de seguridad.

Fuente

Microsoft warns of Exchange zero-day flaw exploited in attacks (BleepingComputer).

Escrito por

Pablo Ariel Di Loreto

Profesor. Informático. Fanático del helado de dulce de leche. Director de Ingeniería en MODO, y Secretario del Microsoft Users Group Asociación Civil. Además, soy owner de iniciativas como ConoSurTech y Aprender IT.

Ver todas las entradas de Pablo Ariel Di Loreto →

Must Read

Suscribirse
Notificarme de
guest

0 Comentarios
Viejos
Nuevos Más votados
Feedback entre líneas
Ver todos los Comentarios

Comienza a escribir y presioná "enter" para buscar

Scroll al inicio
0
Nos encantaría conocer tu opinión: ¡comenta!x