Microsoft ha revelado una nueva vulnerabilidad de seguridad que afecta a la versión local de Exchange Server y anunció que está siendo explotada de forma natural.
La vulnerabilidad se rastrea como CVE-2026-42897 (puntaje CVSS: 8.1) y se describe como un error de suplantación de identidad debido a una falla de secuencias de comandos entre sitios. A un investigador anónimo se le atribuye el descubrimiento y el informe de este problema.
«La neutralización inadecuada de la entrada durante la generación de páginas web (‘cross-site scripting’) en Microsoft Exchange Server podría permitir que un atacante no autorizado realice suplantación de identidad en su red», dijo el gigante tecnológico en un aviso el jueves.
Microsoft, que calificó la vulnerabilidad como «Exploit detectado», dijo que un atacante podría convertir la vulnerabilidad en un arma enviando un correo electrónico manipulado a un usuario, que, si se abre en Outlook Web Access y está sujeto a otras «condiciones de interacción específicas», podría resultar en la ejecución de código JavaScript arbitrario en el contexto del navegador web.
Redmond también señaló que, si bien proporciona mitigación temporal a través del Servicio de mitigación de emergencia de Exchange, está preparando soluciones permanentes para las fallas de seguridad.
El servicio de mitigación de emergencias de Exchange proporciona automáticamente mitigación a través de la configuración de reescritura de URL y está habilitado de forma predeterminada. Como no está activado, le recomendamos que habilite los servicios de Windows.
Según Microsoft, Exchange Online no se ve afectado por esta vulnerabilidad. Las siguientes versiones locales de Exchange Server se ven afectadas:
Exchange Server 2016 (cualquier nivel de actualización) Exchange Server 2019 (cualquier nivel de actualización) Exchange Server Subscription Edition (SE) (cualquier nivel de actualización)
Si utilizar el Servicio de mitigación de emergencias de Exchange no es una opción debido a limitaciones de espacio de aire, la compañía describe el siguiente curso de acción.
Descargue la última versión de las herramientas de mitigación locales de Exchange (EOMT) desde el alias (.)ms/UnifiedEOMT. Aplique la mitigación servidor por servidor o ejecute un script a través de un Shell de administración de Exchange (EMS) elevado para aplicar la mitigación en todos los servidores a la vez. Servidor único: .\EOMT.ps1 -CVE «CVE-2026-42897» Todos los servidores: Get-ExchangeServer | Donde-Objeto { $_.ServerRole -ne «Borde» } | .\EOMT.ps1 -CVE «CVE-2026-42897»
Microsoft dijo que también está al tanto de un problema conocido en el que el campo de descripción de mitigación muestra «La mitigación está deshabilitada para esta versión de Exchange». «Este problema es cosmético y la mitigación se aplicará con éxito si el estado muestra ‘Aplicado'», dijo el equipo de Exchange. «Estamos considerando formas de responder».
En este momento, se desconocen los detalles sobre cómo se explota esta vulnerabilidad, la identidad del actor de la amenaza detrás de la actividad o su escala. Tampoco está claro quiénes eran los objetivos y si esos ataques tuvieron éxito. Mientras tanto, recomendamos aplicar las mitigaciones recomendadas por Microsoft.
Source link
