Daily DMARC News
7 min de lectura Por Excello Mail Team

Un Solo Correo Basta: CVE-2026-42897 Pone Exchange OWA Bajo Ataque Activo

Microsoft confirmó la explotación activa de CVE-2026-42897 el 14 de mayo de 2026. La vulnerabilidad de alta gravedad permite a los atacantes convertir un único correo elaborado en un arma contra Exchange Server OWA local. No existe un parche definitivo. Esto es lo que significa para las organizaciones con Exchange local, por qué la aplicación de DMARC reduce el radio de impacto y qué hacer ahora.

El 14 de mayo de 2026, Microsoft reveló CVE-2026-42897, una vulnerabilidad de suplantación en Exchange Server local que afecta a Outlook Web Access. En menos de 24 horas, CISA la añadió al catálogo de Vulnerabilidades Explotadas Conocidas. En 15 días, venció el plazo de remediación federal. A día de hoy, no existe un parche definitivo.

El vector de ataque es un correo electrónico.

Qué Hace CVE-2026-42897

La vulnerabilidad es un fallo de scripts entre sitios (XSS) en el componente OWA de Exchange Server. Su puntuación CVSS es de 8,1, situándola en el nivel de alta gravedad. La cadena de ataque es directa: un atacante envía un correo especialmente elaborado a un objetivo que utiliza Outlook Web Access para leer su correo. Cuando el objetivo abre ese correo en OWA, el contenido malicioso activa una carga útil XSS que ejecuta JavaScript arbitrario en el contexto del navegador de la víctima.

Desde esa posición, un atacante puede realizar acciones de suplantación contra el usuario dentro de la interfaz de OWA: modificar el contenido mostrado, capturar credenciales, redirigir al usuario o crear acceso persistente basado en el navegador sin necesidad de acceder al servidor de correo.

Exchange Online no está afectado. La vulnerabilidad existe únicamente en implementaciones locales: Exchange Server 2016, Exchange Server 2019 y Exchange Server Subscription Edition (SE).

Explotación Activa Confirmada

La revelación de Microsoft el 14 de mayo vino acompañada de una admisión inusual: la vulnerabilidad ya estaba siendo explotada en la práctica antes de publicarse el aviso. CISA respondió al día siguiente, añadiendo CVE-2026-42897 al catálogo de Vulnerabilidades Explotadas Conocidas y fijando el 29 de mayo como plazo para que las agencias federales aplicaran las mitigaciones.

Ese plazo ya ha vencido. Las agencias federales que lo cumplieron aplicaron la regla de emergencia EEMS (Exchange Emergency Mitigation Service), que Microsoft envió automáticamente a los servidores Exchange con el servicio EM habilitado. Para las organizaciones que habían desactivado EEMS, cuyos servidores no pueden alcanzar la infraestructura de mitigación de Microsoft por aislamiento de red, o que ejecutan versiones anteriores a la mínima requerida para la mitigación automática, el servidor permanece sin parchear.

La Población en Riesgo

En 2023, las implementaciones locales de Exchange representaban aproximadamente el 16% de los buzones Exchange en todo el mundo. Esa cifra ha seguido disminuyendo, pero aún representa decenas de miles de organizaciones: principalmente empresas con requisitos regulatorios de residencia de datos, agencias gubernamentales que no pueden alojar el correo en la nube, y empresas que no han completado la migración a Microsoft 365.

No suelen ser organizaciones pequeñas con equipos de seguridad mínimos. Muchas son exactamente el tipo de objetivos de alto valor que persiguen los actores de amenazas avanzadas: entidades gubernamentales, despachos legales, sistemas sanitarios, instituciones financieras y operadores de infraestructuras críticas. Una vulnerabilidad de suplantación que aterriza en el OWA de un alto funcionario o de un miembro del equipo financiero que lee su correo no es una exposición de bajo riesgo.

Cómo Intersecta la Capa de Correo Con Esta Vulnerabilidad

CVE-2026-42897 requiere que el atacante entregue un correo elaborado al objetivo. Ese correo debe superar los filtros y comprobaciones de autenticación que se interponen entre internet y la bandeja de entrada de la víctima.

Aquí es donde la aplicación de DMARC en el lado receptor importa más de lo que el resumen inicial sugiere.

Los atacantes que explotan esta vulnerabilidad necesitan un mecanismo de entrega. En la práctica, eso significa que los correos suplantados que se hacen pasar por un remitente de confianza, como un administrador de TI, un directivo o un socio externo, son los señuelos más eficaces. Un correo suplantado de “Actualización de Seguridad de TI” proveniente de [email protected] que instruye al personal a hacer clic en un enlace y revisar un documento de política en OWA es un escenario de ingeniería social plausible. Si el atacante suplanta un dominio con una política DMARC p=reject, ese mensaje nunca llega a la bandeja de entrada.

DMARC no corrige la vulnerabilidad de OWA. No impide que un atacante envíe un correo elaborado desde un dominio que controla. Pero elimina el vector de suplantación de mayor confianza, en el que el atacante parece provenir de dentro de la organización o de un dominio conocido y de confianza, antes de que el correo llegue a la infraestructura vulnerable.

Las organizaciones con mayor riesgo de un escenario de explotación de alto impacto de CVE-2026-42897 son las que ejecutan Exchange local sin la mitigación EEMS aplicada y sin p=reject en su dominio. La ausencia de aplicación de DMARC significa que un atacante puede entregar correos de suplantación muy convincentes a usuarios que los abren en OWA.

La Brecha de Parches y Lo Que Revela

La ausencia de un parche definitivo en la fecha de redacción de este artículo no es una anomalía. Las vulnerabilidades de Exchange Server tienen un patrón de plazos de remediación extendidos. La mitigación automática de EEMS cubre los vectores de explotación más comunes, pero EEMS no es un parche. Es una regla del lado del servidor que Microsoft puede activar y desactivar de forma remota, y no reemplaza la corrección permanente del código que debe llegar a través de una Actualización Acumulativa.

Para las organizaciones con implementaciones Exchange aisladas de la red, la ruta de mitigación manual mediante la Exchange On-premises Mitigation Tool (EOMT) es la opción disponible. Microsoft ha documentado el procedimiento a través de Exchange Management Shell para entornos que no pueden conectarse al servicio de mitigación.

La lección más amplia es la misma que emergió de anteriores vulnerabilidades de día cero en Exchange Server. La infraestructura de correo local conlleva una obligación continua de aplicación de parches que las implementaciones en la nube no tienen. Cada nuevo CVE dirigido a Exchange Server reinicia el reloj. Cada reinicio demuestra que el coste operativo de ejecutar correo local no es solo la inversión en infraestructura, sino también la carga de mantenimiento de seguridad que conlleva.

La Señal de la Migración a la Nube

La inmunidad de Exchange Online frente a CVE-2026-42897 no es una coincidencia. La infraestructura en la nube de Microsoft recibe actualizaciones de seguridad de forma continua sin exponer el servidor subyacente a la explotación. Una organización que ejecuta Exchange Online y Microsoft 365 no se vio afectada en absoluto por esta vulnerabilidad.

La vulnerabilidad es un punto de datos en un argumento más amplio que los equipos de CISO y dirección de TI llevan varios años debatiendo. El correo en la nube no es siempre la opción correcta: los requisitos de residencia de datos, los mandatos de aislamiento de red y los marcos de cumplimiento específicos requieren legítimamente infraestructura local en algunos sectores. Pero para las organizaciones que siguen ejecutando Exchange local sin una razón regulatoria específica, CVE-2026-42897 es el último de una serie de incidentes que plantea si el coste de seguridad de las implementaciones locales se está ponderando con precisión frente al coste de la migración.

Qué Deben Hacer los Defensores Ahora

Para organizaciones con Exchange Server local:

  • Verificar que EEMS está habilitado y que la mitigación automática para CVE-2026-42897 se ha aplicado
  • Si EEMS no está disponible, aplicar la mitigación manual a través de EOMT o Exchange Management Shell de inmediato
  • Monitorizar la Actualización Acumulativa que contendrá la corrección definitiva; aplicarla cuando esté disponible
  • Revisar los registros de acceso a OWA para detectar actividad anómala en el periodo mayo-junio
  • Considerar restringir el acceso a OWA exclusivamente a conexiones VPN como control compensatorio durante el periodo de mitigación activo

Para todas las organizaciones:

  • Verificar que el dominio principal de envío tiene una política DMARC a p=reject, no p=none
  • Asegurarse de que todos los servicios de terceros que envían en nombre del dominio están correctamente autenticados con DKIM y cubiertos por SPF
  • Ejecutar DMARC en p=reject en el dominio elimina la capacidad de los atacantes de usar la identidad de confianza de la organización como mecanismo de entrega para correos elaborados, ya sea que el objetivo ejecute Exchange OWA o cualquier otro cliente de correo

El vector de ataque de CVE-2026-42897 es un correo electrónico. Reducir lo que los atacantes pueden suplantar con ese correo está dentro del control de cualquier organización, independientemente de si ejecuta Exchange, Microsoft 365 o cualquier otra infraestructura de correo.

Excello Mail te ayuda a alcanzar y mantener p=reject en tu dominio de envío, cerrando el vector de suplantación que hace que los ataques de correo dirigidos sean más eficaces. Regístrate gratis en Excello Mail y obtén una visión completa de tu postura de autenticación de correo electrónico.