Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server

Microsoft Exchange Server sigue siendo unobjetivo degran valorpara los actores de amenazas debido a su profunda integración con los sistemas de identidad de la empresa, la infraestructura de correo electrónico y las cuentas de servicio privilegiadas. Las vulnerabilidades de ejecución remota de código (RCE) en Exchange se han aprovechado históricamente paracampañas de espionajeagranescala, despliegue de ransomware y operaciones de acceso persistente.

CVE-2026-33824es una vulnerabilidad crítica recientemente revelada que afecta alas implantacioneslocalesde Microsoft Exchange Server. El fallo permite a atacantes no autenticados ejecutar remotamente código arbitrario en el contexto de Exchange Server, lo que puede comprometer el sistema por completo. Una explotación exitosa permite a los atacantes instalar web shells, realizar movimientos laterales, filtrar comunicaciones confidenciales o desplegarcargas útilesdeseguimientocomo ransomware.

Detalles de la vulnerabilidad

• CVE ID:CVE-2026-33824
• Tipo de vulnerabilidad:Ejecución remota de código (RCE)
• Vector de ataque:Red (sin autenticación)
• Autenticación requerida:No
• Interacción con el usuario Requerida:No

Impacto

Si se explota con éxito,CVE-2026-33824permite a un atacante ejecutar código arbitrario en el servidor Exchange Server subyacente con los privilegios de la aplicación Exchange. Esto puede dar lugar a:

• Compromiso total del Exchange Server
• Robo de contenidos de correo electrónico y credenciales
• Despliegue de web shells y backdoors
• Movimiento lateral a Active Directory
• Ejecución de ransomware o carga destructiva

Versiones afectadas

La vulnerabilidad afecta a las siguientes versiones de Microsoft Exchange Server anteriores a las últimas actualizaciones de seguridad:

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Nota:Exchange Onlinealojadoen la nubeno se ve afectado.

Medidas recomendadas

Medidas inmediatas

Aplicar actualizaciones de seguridad

• Instale las últimas actualizaciones de seguridad de Microsoft Exchange Server que abordanCVE-2026-33824.
• Compruebe que la instalación se ha realizado correctamente en todas las funciones de Exchange.

• Restrinja temporalmente el acceso público a los servicios de Exchange siempre que sea posible.
• Limite el acceso mediantecontrolesanivelde red(cortafuegos, VPN).

• Revise los registros de IIS en busca de solicitudes POST anómalas o patrones de URL sospechosos.
• Compruebe los directorios de Exchange en busca deposibles web shells de archivos.aspxinesperados.

• Asegúrese de que el registro de PowerShell, el registro de IIS y el registro de eventos de Windows estén habilitados y se conserven.

Si la mitigación no es posible de inmediato

Si la aplicación de parches no se puede completar inmediatamente, las organizaciones deben implementar los siguientes controles temporales:

• Implementar una regla de cortafuegos de aplicaciones Web (WAF) para detectar o bloquear solicitudes sospechosas de Exchange.
• Desactivar los puntos finales de Exchange innecesarios (por ejemplo, servicios heredados que ya no se utilicen).
• Supervise las conexiones salientes de los servidores Exchange para detectar actividades sospechosas.
• Aumente la sensibilidad de las alertas del SOC para losprocesos y procesos secundariosrelacionadoscon Exchange.

Importante:las mitigaciones temporales no sustituyen a la aplicación de parches y sólo deben utilizarse para reducir la exposición hasta que se apliquen las actualizaciones.

Recomendaciones de detección y supervisión

Los equipos de seguridad deben vigilar:

• Comportamiento inusual del proceso trabajador de IIS (w3wp.exe)
• Intercambio que genera procesos hijo inesperados (por ejemplo,cmd.exe,powershell.exe)
• Creación de nuevas cuentas locales o de dominio
• Tareas o servicios programados inesperados
• Conexiones salientes no autorizadas desde servidores Exchange

CVE-2026-33824representa una amenaza crítica y urgente para las organizaciones que utilizanservidores Microsoft Exchangelocales. Según las tendencias históricas de explotación y los primeros datos sobre amenazas, es muy probable que se convierta rápidamente en un arma. Se recomienda encarecidamente la aplicación inmediata de parches, la búsqueda proactiva de amenazas y la mejora de la supervisión.

Las organizaciones que no puedan poner remedio rápidamente deben tratar sus servidores Exchange como potencialmente comprometidos y responder en consecuencia.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.