**Nueva vulnerabilidad crítica en servidores Exchange permite ejecución remota de código y compromete la seguridad corporativa**

—

### 1. Introducción

Los servidores de correo electrónico Microsoft Exchange han vuelto a situarse en el epicentro de la ciberseguridad tras identificarse una vulnerabilidad crítica que expone a organizaciones de todos los sectores a ataques de ejecución remota de código (RCE). Este nuevo fallo, catalogado como CVE-2024-35345, ha sido calificado con una puntuación CVSS de 9.8, situándose en la categoría de máxima gravedad. El incidente ha generado gran inquietud entre CISOs, analistas SOC y equipos de respuesta ante incidentes, dada la prevalencia de Exchange en entornos empresariales y su historial reciente de vulnerabilidades explotadas activamente.

—

### 2. Contexto del Incidente

A lo largo de los últimos años, los servidores Exchange han sido objetivo prioritario para actores de amenazas, especialmente tras los ataques masivos de 2021 vinculados a Hafnium y otros grupos APT. La vulnerabilidad CVE-2024-35345 afecta a las versiones Exchange Server 2016 (15.1.2507.6 y anteriores) y Exchange Server 2019 (15.2.986.5 y anteriores), ampliamente desplegadas en medianas y grandes empresas. Según datos de Shodan, más de 75.000 instancias potencialmente vulnerables permanecían expuestas a Internet en el momento de la publicación del aviso, lo que incrementa el riesgo de explotación a escala global.

—

### 3. Detalles Técnicos

La vulnerabilidad CVE-2024-35345 reside en el componente de deserialización de objetos empleado por el servicio Exchange Web Services (EWS). Un atacante remoto, autenticado, puede enviar una carga manipulada que aprovecha la validación insuficiente en la deserialización, permitiendo así la ejecución arbitraria de código en el contexto del proceso Exchange. La explotación de este fallo se alinea con la técnica T1190 (Exploit Public-Facing Application) del framework MITRE ATT&CK.

Investigadores de Zero Day Initiative han publicado pruebas de concepto (PoC) que demuestran la viabilidad del exploit. Herramientas como Metasploit Framework ya han incorporado módulos específicos para automatizar el proceso de explotación, facilitando su uso tanto a equipos de Red Team como a actores maliciosos. Los indicadores de compromiso (IoC) incluyen patrones de tráfico anómalos hacia EWS, logs de autenticación sospechosos y alteraciones en archivos críticos del sistema.

—

### 4. Impacto y Riesgos

El impacto potencial de la explotación de CVE-2024-35345 es significativo: permite a los atacantes tomar control total del servidor Exchange, acceder a correos electrónicos sensibles, distribuir malware interno y pivotar lateralmente dentro de la red corporativa. Microsoft estima que, en un entorno no parcheado, el tiempo medio de detección y contención supera las 36 horas, lo que otorga a los atacantes una ventana de acción considerable.

Numerosos informes de incidentes recientes han confirmado el uso de esta vulnerabilidad como vector inicial en campañas de ransomware y exfiltración de datos. El coste medio estimado de una brecha de estas características asciende a 4,3 millones de dólares, según datos de IBM Security (Cost of a Data Breach Report 2023).

—

### 5. Medidas de Mitigación y Recomendaciones

Microsoft ha publicado parches críticos para Exchange Server 2016 y 2019, disponibles en el portal oficial de actualizaciones de seguridad. Se recomienda su aplicación inmediata y prioritaria, así como la revisión de las configuraciones de acceso externo a EWS. Los equipos SOC deben monitorizar activamente los logs de Exchange y desplegar reglas YARA y Sigma adaptadas a los IoC conocidos.

Es aconsejable segmentar la red para aislar los servidores de correo, implementar autenticación multifactor (MFA) y limitar el acceso mediante listas blancas de IP. Los pentesters pueden emplear herramientas como Nmap y Nessus para identificar instancias vulnerables. Además, se recomienda realizar simulacros de respuesta ante incidentes y actualizar los playbooks de cibercrisis para incluir esta amenaza concreta.

—

### 6. Opinión de Expertos

Daniel López, CISO de una gran entidad bancaria española, advierte: “La exposición de Exchange a Internet supone un riesgo crítico, especialmente en entornos que priorizan la disponibilidad sobre la seguridad. Este tipo de fallos demuestra la necesidad de adoptar estrategias Zero Trust y reforzar la monitorización continua”.

Por su parte, Jesús Fernández, analista senior de amenazas en un CERT nacional, subraya: “La rápida disponibilidad de exploits públicos acelera la explotación masiva. La colaboración entre el sector público y privado es esencial para compartir IoC y tácticas emergentes”.

—

### 7. Implicaciones para Empresas y Usuarios

Las empresas sujetas a la regulación GDPR y NIS2 deben extremar la vigilancia ante posibles incidentes de fuga de datos personales, ya que una brecha derivada de CVE-2024-35345 puede acarrear sanciones administrativas y daños reputacionales severos. Los administradores deben revisar periódicamente el ciclo de vida de sus sistemas Exchange y valorar migraciones hacia soluciones cloud, donde la responsabilidad en la gestión de parches recae parcialmente sobre el proveedor.

Para los usuarios finales, el riesgo se traduce en la posible exposición de información confidencial y el incremento de ataques de spear phishing basados en el acceso ilegítimo al correo corporativo.

—

### 8. Conclusiones

La vulnerabilidad CVE-2024-35345 en Microsoft Exchange subraya la importancia de una gestión proactiva de parches, la monitorización avanzada y la formación continua de los equipos de ciberseguridad. La inmediatez en la explotación, junto con la disponibilidad de herramientas automatizadas, exige una respuesta coordinada y ágil. Mantener la infraestructura de correo segura es, hoy más que nunca, una prioridad estratégica para cualquier organización.

(Fuente: www.darkreading.com)