Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server

Microsoft Exchange Server sigue siendo unobjetivo degran valorpara los actores de amenazas debido a su profunda integración con los sistemas de identidad de la empresa, la infraestructura de correo electrónico y las cuentas de servicio privilegiadas. Las vulnerabilidades de ejecución remota de código (RCE) en Exchange se han aprovechado históricamente paracampañas de espionajeagranescala, despliegue de ransomware y operaciones de acceso persistente.

CVE-2026-33824es una vulnerabilidad crítica recientemente revelada que afecta alas implantacioneslocalesde Microsoft Exchange Server. El fallo permite a atacantes no autenticados ejecutar remotamente código arbitrario en el contexto de Exchange Server, lo que puede comprometer el sistema por completo. Una explotación exitosa permite a los atacantes instalar web shells, realizar movimientos laterales, filtrar comunicaciones confidenciales o desplegarcargas útilesdeseguimientocomo ransomware.

Detalles de la vulnerabilidad

CVE ID:CVE-2026-33824
Tipo de vulnerabilidad:Ejecución remota de código (RCE)
Vector de ataque:Red (sin autenticación)
Autenticación requerida:No
Interacción con el usuario Requerida:No

Impacto

Si se explota con éxito,CVE-2026-33824permite a un atacante ejecutar código arbitrario en el servidor Exchange Server subyacente con los privilegios de la aplicación Exchange. Esto puede dar lugar a:

Compromiso total del Exchange Server
Robo de contenidos de correo electrónico y credenciales
Despliegue de web shells y backdoors
Movimiento lateral a Active Directory
Ejecución de ransomware o carga destructiva

Versiones afectadas

La vulnerabilidad afecta a las siguientes versiones de Microsoft Exchange Server anteriores a las últimas actualizaciones de seguridad:

Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

Nota:Exchange Onlinealojadoen la nubeno se ve afectado.

Medidas recomendadas

Medidas inmediatas

Aplicar actualizaciones de seguridad

Instale las últimas actualizaciones de seguridad de Microsoft Exchange Server que abordanCVE-2026-33824.
Compruebe que la instalación se ha realizado correctamente en todas las funciones de Exchange.

Restrinja la exposición

Restrinja temporalmente el acceso público a los servicios de Exchange siempre que sea posible.
Limite el acceso mediantecontrolesanivelde red(cortafuegos, VPN).

Buscar indicadores de peligro (IOC)

Revise los registros de IIS en busca de solicitudes POST anómalas o patrones de URL sospechosos.
Compruebe los directorios de Exchange en busca deposibles web shells de archivos.aspxinesperados.

Active el registro mejorado

Asegúrese de que el registro de PowerShell, el registro de IIS y el registro de eventos de Windows estén habilitados y se conserven.

Si la mitigación no es posible de inmediato

Si la aplicación de parches no se puede completar inmediatamente, las organizaciones deben implementar los siguientes controles temporales:

Implementar una regla de cortafuegos de aplicaciones Web (WAF) para detectar o bloquear solicitudes sospechosas de Exchange.
Desactivar los puntos finales de Exchange innecesarios (por ejemplo, servicios heredados que ya no se utilicen).
Supervise las conexiones salientes de los servidores Exchange para detectar actividades sospechosas.
Aumente la sensibilidad de las alertas del SOC para losprocesos y procesos secundariosrelacionadoscon Exchange.

Importante:las mitigaciones temporales no sustituyen a la aplicación de parches y sólo deben utilizarse para reducir la exposición hasta que se apliquen las actualizaciones.

Recomendaciones de detección y supervisión

Los equipos de seguridad deben vigilar:

Comportamiento inusual del proceso trabajador de IIS (w3wp.exe)
Intercambio que genera procesos hijo inesperados (por ejemplo,cmd.exe,powershell.exe)
Creación de nuevas cuentas locales o de dominio
Tareas o servicios programados inesperados
Conexiones salientes no autorizadas desde servidores Exchange

CVE-2026-33824representa una amenaza crítica y urgente para las organizaciones que utilizanservidores Microsoft Exchangelocales. Según las tendencias históricas de explotación y los primeros datos sobre amenazas, es muy probable que se convierta rápidamente en un arma. Se recomienda encarecidamente la aplicación inmediata de parches, la búsqueda proactiva de amenazas y la mejora de la supervisión.

Las organizaciones que no puedan poner remedio rápidamente deben tratar sus servidores Exchange como potencialmente comprometidos y responder en consecuencia.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.

Servicios MDR

Servicios de respuesta ante incidentes

Gartner ha reconocido

Descarga nuestro ebook sobre CyberFire MDR

Los costes humanos ocultos de un ciberataque

La realidad del ransomware en 2025: lo que necesitas saber

Tu guía para 2025: Tendencias y Predicciones

Servicios de pruebas de ciberseguridad

¿Qué es PCI? Respuestas a las preguntas más frecuentes.

Resúmenes semanales de amenazas

Glosario A-Z de términos de ciberseguridad

Lee nuestro último blog

Integrity360 obtiene la certificación SOC 2 para reforzar el ecosistema global de ciberdefensa

Integrity360 se expande a Francia con la adquisición de Holiseum

Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server

Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server

Detalles de la vulnerabilidad

Impacto

Versiones afectadas

Medidas recomendadas

Medidas inmediatas

Recomendaciones de detección y supervisión

Download our 2026 cyber security trends and predictions guide now!

Sign-up to receive our latest insights

Quick links

Nuestros servicios

Presencia global