Vulnerabilidades en Microsoft Authenticator y Exchange Server
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-UC) informa sobre la publicación de parches de seguridad para corregir dos fallas de severidad crítica y alta en servicios esenciales de Microsoft: la aplicación de autenticación Microsoft Authenticator y el servidor de correo Microsoft Exchange.
La falla más grave afecta al Authenticator, permitiendo la exposición de información confidencial a través de la red. Por otra parte, la vulnerabilidad en Exchange Server facilita ataques de suplantación de identidad (spoofing) mediante la inyección incorrecta de datos en páginas web internas.
Detalles Técnicos de las Vulnerabilidades
| Identificador CVE | Puntuación CVSS v3.1 | Componente / Producto | Tipo de Falla / Impacto |
| CVE-2026-41615 | 9.6 (CRÍTICA) | Microsoft Authenticator (Móvil) | Exposición de información: Permite a un agente no autorizado interceptar y acceder a datos sensibles a través de la red. |
| CVE-2026-42897 | 8.1 (ALTA) | Microsoft Exchange Server | Neutralización inadecuada de entrada (XSS/Spoofing): Permite a un atacante realizar suplantación de identidad en el entorno web del servidor. |
Productos y Versiones Afectadas
1. Ecosistema de Correo
- Exchange Server Subscription Edition RTM
- Exchange Server 2019 (Actualizaciones acumulativas 14 y 15)
- Exchange Server 2016 (Actualización acumulativa 23)
2. Dispositivos Móviles
- Microsoft Authenticator para Android: Versiones anteriores a la 6.2605.2973
- Microsoft Authenticator para iOS: Versiones anteriores a la 6.8.47
Recomendaciones
El CSIRT-UC insta a aplicar las siguientes medidas correctivas según el perfil del usuario:
Authenticator
- Ingrese a la tienda de aplicaciones de su dispositivo (Google Play Store en Android o App Store en iOS).
- Busque "Microsoft Authenticator".
- Si el botón "Actualizar" está disponible, presiónelo de inmediato. Asegúrese de contar con una versión igual o superior a las recomendadas.
Exchange Server
- Planificar e implementar los parches acumulativos correspondientes lanzados en el catálogo de actualizaciones de Microsoft.
- Validar los filtros de entrada en los portales web de Exchange y revisar los logs en busca de solicitudes anómalas que intenten explotar la falta de neutralización de scripts.
Referencias Oficiales
- Guía de Mitigación de Microsoft: CVE-2026-41615 | CVE-2026-42897
- Registros de Vulnerabilidad: CVE-2026-41615 (CVE.org) | CVE-2026-42897 (CVE.org)
CSIRT-UC