CVE-2026-42897 Microsoft Exchange Server: zero-day explotado

CVE-2026-42897 es una vulnerabilidad zero-day en Microsoft Exchange Server explotada activamente desde antes de su publicación pública. Microsoft Security Response Center (MSRC) la documentó como un fallo combinado de spoofing y Cross-Site Scripting (XSS) que afecta a Microsoft Exchange Server Subscription Edition (SE), Exchange Server 2019 y Exchange Server 2016. El producto sigue siendo el motor de correo de miles de organizaciones europeas reguladas (banca, salud, AAPP, industria sujeta a NIS2), por lo que cualquier zero-day en Exchange tiene impacto operativo inmediato y prioridad máxima en cualquier programa de gestión de vulnerabilidades.

Esta advisory de Secra resume la naturaleza técnica del fallo, productos afectados, recomendaciones de mitigación, encaje regulatorio europeo y cómo identificar señales de explotación previa al parche.

Lo esencial sobre CVE-2026-42897

Vulnerabilidad zero-day en Microsoft Exchange Server: spoofing y XSS combinados.

Productos afectados: Exchange Server Subscription Edition (SE), 2019 y 2016.

Explotación activa confirmada antes de la publicación pública del advisory de Microsoft.

Permite engañar a usuarios internos y ejecutar JavaScript en el contexto del cliente Outlook web.

Mitigación: aplicar parche Microsoft Patch Tuesday correspondiente y reforzar segmentación de Exchange.

Qué es CVE-2026-42897

CVE-2026-42897 es un fallo de seguridad documentado por Microsoft Security Response Center que combina dos vectores clásicos en una única cadena explotable: spoofing (suplantación) y Cross-Site Scripting (XSS) en componentes web de Exchange Server.

En la práctica, esto significa que un atacante puede construir un mensaje o petición que aparente provenir de un origen legítimo (spoofing) y, simultáneamente, ejecutar código JavaScript en el navegador del usuario víctima cuando este interactúa con la interfaz web de Exchange (OWA, Outlook on the Web). La combinación es peligrosa porque elude controles que individualmente serían suficientes para detectar uno u otro vector.

El impacto típico de una explotación exitosa incluye:

Robo de credenciales de sesión Outlook
Lectura no autorizada de correos del usuario víctima
Pivot hacia otras víctimas internas a través de Exchange
En cadenas más sofisticadas, escalada hacia compromiso del propio servidor

Productos afectados

Según el advisory inicial de Microsoft Security Response Center:

Producto	Estado
Exchange Server Subscription Edition (SE)	Afectado, requiere parche
Exchange Server 2019	Afectado, requiere parche (Cumulative Update aplicable)
Exchange Server 2016	Afectado, requiere parche (Cumulative Update aplicable)
Exchange Online (Microsoft 365)	No afectado, mitigación lado servidor de Microsoft

Microsoft Exchange Server 2013 quedó fuera de soporte hace tiempo: si una organización aún ejecuta esa versión, el riesgo es estructural y va mucho más allá de este CVE concreto.

Explotación activa: contexto y prioridad

Microsoft confirmó actividad de explotación in-the-wild antes de la publicación del advisory. Esto encaja con el patrón histórico de zero-days en Exchange (ProxyLogon en 2021, ProxyShell en 2021, varios en 2024 y 2025): actores avanzados explotan vulnerabilidades de Exchange antes del parche oficial porque el producto es objetivo de alto valor (correo corporativo de objetivos diplomáticos, financieros y de defensa).

Las organizaciones con Exchange on-premise expuesto a Internet deben asumir que están en alcance hasta verificar lo contrario, especialmente si:

El servidor está accesible desde Internet (OWA, ECP, EWS abiertos)
No se han aplicado los últimos Cumulative Updates
No hay segmentación que aísle Exchange del resto del entorno

Mitigaciones recomendadas

Acción uno: parchear con la actualización oficial Microsoft

Aplicar la actualización indicada en el advisory MSRC correspondiente. Microsoft publica los parches alineados con el ciclo Patch Tuesday, pero ante explotación activa puede haber out-of-band releases. Verificar la KB exacta para cada versión de Exchange desplegada.

Acción dos: reducir superficie de exposición

Mientras se completa el parcheo:

Limitar el acceso externo a OWA, ECP y EWS desde Internet a rangos IP corporativos o vía VPN
Habilitar Exchange Emergency Mitigation Service (EM service) si está disponible en la versión desplegada
Revisar políticas de Conditional Access y MFA aplicadas al acceso a Exchange

Acción tres: hunting retrospectivo

Buscar indicadores de explotación previa:

Procesos hijos inusuales de w3wp.exe (especialmente PowerShell, cmd, ASPX webshells)
Ficheros nuevos en \inetpub\wwwroot\aspnet_client\ o subdirectorios de Exchange
Logs IIS con peticiones malformadas a endpoints OWA, ECP, EWS, MAPI o autodiscover
Crecimiento inusual en transport rules, mailbox forwarding rules o delegaciones

Acción cuatro: revisar credenciales y sesiones activas

Si hay sospecha de compromiso:

Invalidar todas las sesiones activas OWA
Forzar rotación de credenciales para usuarios privilegiados
Revisar Application Impersonation y permisos sobre buzones críticos

Acción cinco: notificación regulatoria si procede

Bajo NIS2 (artículo 23) y RGPD (artículo 33), notificar a la autoridad competente en los plazos correspondientes si se detecta evidencia de compromiso real con impacto en servicios esenciales o datos personales.

Encaje con NIS2 y DORA

Exchange on-premise es típicamente un servicio crítico bajo el alcance de:

NIS2 artículo 21.2(b): gestión de incidentes con plazos de notificación 24h/72h/1mes
NIS2 artículo 21.2(d): continuidad de negocio y gestión de crisis
DORA artículo 17: gestión de incidentes ICT con plazos específicos para entidades financieras
ISO 27001:2022 control A.8.8: gestión de vulnerabilidades técnicas

Un zero-day en Exchange con explotación activa es exactamente el escenario que estos artículos contemplan. La capacidad de respuesta operativa se mide en horas, no días.

Por qué Exchange sigue siendo target prioritario

Tres razones que se mantienen en 2026:

Datos de alto valor. Correo corporativo concentra información sensible: contratos, planes estratégicos, datos personales, credenciales temporales. Compromiso del buzón ejecutivo equivale a acceso a la organización completa.
Despliegue heterogéneo on-premise. Pese a la migración mayoritaria a Exchange Online, muchas organizaciones reguladas mantienen Exchange on-premise por restricciones de soberanía de datos o integración legacy. Cada despliegue añade superficie de ataque.
Histórico de zero-days exitosos. ProxyLogon, ProxyShell, OWASSRF y otros han demostrado que Exchange es vector explotable rentable para actores avanzados (APT estatales, ransomware enterprise). El patrón continúa.

Preguntas frecuentes

¿Exchange Online está afectado?

No directamente. Microsoft aplica mitigaciones lado servidor para todos los tenants Microsoft 365 sin requerir acción del cliente. La vulnerabilidad afecta a despliegues on-premise.

¿Cuánto tiempo tarda Microsoft en publicar el parche tras detectar explotación?

Varía. En escenarios de explotación activa documentada, Microsoft acelera releases out-of-band, a veces en horas o días tras detectar la actividad. La práctica defensiva es mantener Exchange en el Cumulative Update más reciente para reducir la ventana de exposición.

¿La detección de IoCs publicados garantiza ausencia de compromiso?

No. La ausencia de IoCs conocidos no implica ausencia de compromiso. Actores avanzados modifican TTPs específicamente para evitar firmas públicas. Threat hunting activo con hipótesis amplias es necesario en escenarios de zero-day.

¿Es suficiente con un WAF delante de Exchange?

Ayuda pero no es suficiente. Un WAF puede bloquear ciertos patrones conocidos pero los zero-days, por definición, eluden firmas. La defensa real combina parcheo rápido, segmentación, monitorización activa y respuesta a incidentes.

¿Debe mi organización notificar el incidente bajo NIS2?

Depende de la calificación del incidente. Si hay evidencia de compromiso con impacto significativo sobre servicios esenciales o datos personales, sí. La calificación es responsabilidad del CISO/DPO con asesoramiento legal.

¿Qué pasa con backups de buzones potencialmente comprometidos?

Mantenerlos en cuarentena para análisis forense. La restauración desde backups debe partir de un punto verificadamente anterior al compromiso, no de cualquier backup reciente.

Recursos relacionados

Qué es un CVE: cómo se referencia un CVE como CVE-2026-42897.
Qué es un exploit: vulnerabilidad vs exploit con ejemplos históricos de Exchange.
Qué es un SOC: cómo el SOC detecta y responde a explotación de zero-days en Exchange.
Qué es SAML: integración de identidad relevante para hardening de Exchange.
Auditoría NIS2 paso a paso: proceso de notificación de incidentes bajo NIS2.

Threat hunting y respuesta con Secra

Secra publica CVE research propio (entre otros, CVE-2025-40652 en CoverManager y CVE-2023-3512 en Setelsa ConacWin CB) en coordinación con INCIBE-CERT y NVD. La misma metodología que aplicamos al descubrir vulnerabilidades es la que usamos para validar exposición a zero-days externos como CVE-2026-42897 en cliente.

Ofrecemos validación técnica para organizaciones con Exchange on-premise expuesto: hunting retrospectivo en logs IIS y Exchange, validación de parche aplicado, pentesting interno post-parche para verificar que la mitigación es efectiva y, si procede, intervención DFIR ante evidencia de compromiso. Hunting Exchange tipo ProxyLogon/ProxyShell en pocas horas, no días. Escríbenos a través de contacto o explora nuestros servicios de ciberseguridad gestionada.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo