Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Microsoft corrige falha grave explorada em ataques contra empresas

Falha de XSS no Outlook Web Access afeta Exchange Server on‑premises; mitigação destaca impacto e correção futura limitada a clientes ESU Período 2

Photo
0:00
Carregando...
0:00
  • A Microsoft identificou a vulnerabilidade crítica CVE-2026-42897, já explorada por atacantes, que atinge as versões on-premises do Exchange Server.
  • A falha permite a execução de código JavaScript no navegador da vítima via cross-site scripting no Outlook Web Access; o ataque costuma começar com um e-mail malicioso.
  • Exchange Online não é afetado; as versões on-premises impactadas são Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, com correções ausentes no Patch Tuesday de maio.
  • A empresa oferece mitigação temporária com o Exchange Emergency Mitigation Service (M2.1.x) e com o Exchange on-premises Mitigation Tool; o status pode ser verificado pelo script Exchange Health Checker.
  • A mitigação temporária pode causar problemas como falha na impressão de calendários, imagens inline que não aparecem e o OWA Light pode deixar de funcionar; o patch definitivo deve chegar para clientes do Extended Security Update (ESU) Período 2.

A Microsoft divulgou a existência de uma falha crítica no Exchange Server, identificada como CVE-2026-42897, já explorada por atacantes contra empresas. A vulnerabilidade de cross-site scripting ocorre no Outlook Web Access e permite a execução de código malicioso no navegador da vítima. A falha afeta instalações on-premises do servidor de e-mail corporativo e não atinge o Exchange Online.

A vulnerabilidade permite que, ao abrir um e-mail malicioso pelo OWA, o código JavaScript seja executado sob condições específicas de interação. A falha é classificada como spoofing e XSS, com descrição técnica de neutralização inadequada de entrada durante a geração de páginas web. A Microsoft já disponibilizou mitigação automática por meio do Exchange Emergency Mitigation Service.

Impacto e versões afetadas

  • Ameaça afeta o Exchange Server 2016, 2019 e Exchange Server Subscription Edition on-premises.
  • Todas as atualizações dessas versões estavam vulneráveis até a divulgação da mitigação.
  • O Exchange Online não é afetado pela CVE-2026-42897.

Mitigações e ferramentas oficiais

  • Mitigação principal: Exchange Emergency Mitigation Service, ativo por padrão desde 2021, que aplica a correção automaticamente em servidores compatíveis.
  • Administradores podem confirmar a aplicação da mitigação M2.1.x com o script Exchange Health Checker, que gera relatórios de status em HTML.
  • Para ambientes isolados, a Microsoft disponibilizou o Exchange on-premises Mitigation Tool, com o script EOMT.ps1 para uso manual.

Impacto operacional temporário

  • A mitigação pode desativar temporariamente recursos do OWA, afetando impressão de calendários e exibição de imagens inline.
  • Em alguns casos, imagens precisam ser enviadas como anexos.
  • O OWA Light, versão antiga da interface, pode deixar de funcionar adequadamente, segundo a empresa.

Atualizações definitivas e ESU

  • A Microsoft planeja um patch definitivo para as versões afetadas, com disponibilidade prevista para Exchange SE RTM, Exchange 2016 CU23 e Exchange 2019 CU14/CU15.
  • Patch para 2016 e 2019 ficará restrito a clientes inscritos no Extended Security Update Período 2; ESU Período 1 já encerrou.
  • A vulnerabilidade foi reportada por um pesquisador anônimo; detalhes sobre ataques e grupos não foram divulgados.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais