Vulnerabilidad en Microsoft Exchange que evade actualizaciones de seguridad
Microsoft / PR-ADN
Una vulnerabilidad recientemente identificada en Microsoft Exchange permite a los atacantes eludir las actualizaciones de seguridad implementadas por la compañía, generando preocupación entre expertos y administradores ante posibles riesgos para la integridad de datos y comunicaciones empresariales.
Tl;dr
- Vulnerabilidad grave afecta a Microsoft Exchange Server.
- El ataque se ejecuta al abrir emails maliciosos.
- No hay parche aún; activar mitigación urgente.
Vulnerabilidad crítica sacude a Microsoft Exchange Server
El ecosistema de Microsoft Exchange Server se ve envuelto en una alerta de máxima prioridad tras descubrirse una nueva vulnerabilidad, catalogada como CVE-2026-42897. Detectada el pasado jueves, la brecha mantiene en vilo tanto a profesionales de la ciberseguridad como a administradores de sistemas. Lo más inquietante es que tanto Exchange Server 2016, Exchange Server 2019 como su edición por suscripción (SE) se encuentran afectados, incluso si cuentan con las actualizaciones más recientes.
Un método de ataque sencillo y eficaz
La mecánica empleada por los atacantes ha sorprendido por su simplicidad. Basta con que un usuario abra un correo electrónico especialmente preparado a través de Outlook Web Access para que se ejecute código arbitrario en el navegador. Según ha explicado el equipo responsable de Exchange en Microsoft, este escenario aprovecha un envío dirigido y unas condiciones mínimas para lograr la explotación inmediata: mediante JavaScript, los ciberdelincuentes pueden comprometer la seguridad sin grandes complicaciones técnicas. Esta facilidad, precisamente, es lo que alimenta la preocupación dentro del sector.
Paliativos temporales y recomendaciones prioritarias
Actualmente no existe un parche oficial disponible para resolver la vulnerabilidad. Ante esta ausencia, desde Microsoft insisten en activar cuanto antes el Exchange Emergency Mitigation Service (EEMS), diseñado para aplicar automáticamente medidas de protección frente a este tipo de ataques. Este mecanismo constituye, según la propia compañía, «la vía más efectiva» para defenderse mientras se desarrolla una solución definitiva. Ahora bien, quienes utilicen servidores previos a marzo de 2023 deben tener presente que no podrán beneficiarse plenamente de estas mitigaciones.
Varios elementos explican las medidas recomendadas:
- Lanzar el script Health Checker para verificar el estado de seguridad.
- Asegurarse de que EEMS está activo y funcionando correctamente.
Un mes complicado para la ciberseguridad de Microsoft
El hallazgo de esta brecha coincide con semanas especialmente agitadas en materia de seguridad para Microsoft. En los últimos días, la empresa ha tenido que corregir más de 130 fallos mediante el conocido Patch Tuesday, buena parte detectados gracias al nuevo sistema inteligente MDASH (Multi-model Agentic Scanning Harness), cuya finalidad es acelerar la localización automática de errores críticos. Así queda patente cómo los desafíos en ciberseguridad exigen una vigilancia constante y respuestas ágiles ante amenazas cada vez más sofisticadas.