El juny de 2026 Microsoft va corregir una vulnerabilitat d’Exchange Server, CVE-2026-42897, que ja s’estava fent servir en atacs abans que sortís el pegat definitiu. La fallada és a Outlook Web Access (OWA), la interfície web del correu, i es cataloga com a spoofing amb conseqüències de cross-site scripting.
Què falla exactament
L’atac és senzill, i per això preocupa. Un atacant remot, sense autenticar-se, envia un correu construït expressament. Si la víctima obre aquest missatge a OWA i es donen certes condicions d’interacció, s’executa JavaScript arbitrari en el context del navegador. El destinatari no cal que sigui administrador ni que tingui privilegis especials: n’hi ha prou que faci servir el webmail.
Executar JavaScript dins la sessió d’OWA d’una altra persona obre la porta a robar tokens de sessió, llegir correu, suplantar l’usuari dins la interfície o encadenar la fallada amb d’altres per arribar més lluny. Microsoft la va classificar com a gravetat alta.
A qui afecta
El problema toca les versions que encara tenen suport:
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition (SE)
És a dir, qualsevol organització que mantingui el seu propi Exchange on-premise amb OWA exposat. Les bústies a Exchange Online (Microsoft 365) segueixen un camí d’actualització a part, gestionat per Microsoft.
Per què importa que sigui zero-day
El rellevant no és només el tipus de bug, sinó que es va detectar explotació real abans de tenir pegat. A mitjan maig Microsoft va activar una mitigació temporal automàtica mitjançant l’Exchange Emergency Mitigation Service (EEMS), el mecanisme que desplega contramesures als servidors Exchange sense esperar l’actualització completa. CISA va afegir CVE-2026-42897 al seu catàleg de Known Exploited Vulnerabilities el 15 de maig de 2026 i va donar a les agències federals dels EUA un termini de 14 dies per corregir-ho. Les actualitzacions de seguretat definitives van arribar al juny.
Exchange arrossega un historial llarg en aquest apartat: és un dels productes amb més entrades al catàleg KEV de CISA, i diverses d’aquestes fallades han acabat sent munició per a grups de ransomware.
Què cal fer
La recomanació de Microsoft és directa: instal·la les actualitzacions de seguretat de juny de 2026 per a la teva versió d’Exchange com més aviat millor. Mentrestant, convé mantenir actives les mitigacions de l’EEMS com a capa extra. Si administres un Exchange propi, comprova que el servei de mitigació d’emergència estigui habilitat, perquè és el que ha estat contenint l’atac abans del pegat.
Per a qui gestioni infraestructura Windows Server, el juny de 2026 va ser un mes carregat: aquest Exchange va arribar enganxat al Patch Tuesday rècord amb prop de 200 CVE, així que val la pena planificar el desplegament complet i no corregir aquesta fallada de manera aïllada.
Font
- BleepingComputer: Microsoft patches Exchange Server zero-day exploited in attacks
- NVD: CVE-2026-42897