- A Microsoft identificou a vulnerabilidade crítica CVE-2026-42897, já explorada por atacantes, que atinge as versões on-premises do Exchange Server.
- A falha permite a execução de código JavaScript no navegador da vítima via cross-site scripting no Outlook Web Access; o ataque costuma começar com um e-mail malicioso.
- Exchange Online não é afetado; as versões on-premises impactadas são Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, com correções ausentes no Patch Tuesday de maio.
- A empresa oferece mitigação temporária com o Exchange Emergency Mitigation Service (M2.1.x) e com o Exchange on-premises Mitigation Tool; o status pode ser verificado pelo script Exchange Health Checker.
- A mitigação temporária pode causar problemas como falha na impressão de calendários, imagens inline que não aparecem e o OWA Light pode deixar de funcionar; o patch definitivo deve chegar para clientes do Extended Security Update (ESU) Período 2.
A Microsoft divulgou a existência de uma falha crítica no Exchange Server, identificada como CVE-2026-42897, já explorada por atacantes contra empresas. A vulnerabilidade de cross-site scripting ocorre no Outlook Web Access e permite a execução de código malicioso no navegador da vítima. A falha afeta instalações on-premises do servidor de e-mail corporativo e não atinge o Exchange Online.
A vulnerabilidade permite que, ao abrir um e-mail malicioso pelo OWA, o código JavaScript seja executado sob condições específicas de interação. A falha é classificada como spoofing e XSS, com descrição técnica de neutralização inadequada de entrada durante a geração de páginas web. A Microsoft já disponibilizou mitigação automática por meio do Exchange Emergency Mitigation Service.
Impacto e versões afetadas
- Ameaça afeta o Exchange Server 2016, 2019 e Exchange Server Subscription Edition on-premises.
- Todas as atualizações dessas versões estavam vulneráveis até a divulgação da mitigação.
- O Exchange Online não é afetado pela CVE-2026-42897.
Mitigações e ferramentas oficiais
- Mitigação principal: Exchange Emergency Mitigation Service, ativo por padrão desde 2021, que aplica a correção automaticamente em servidores compatíveis.
- Administradores podem confirmar a aplicação da mitigação M2.1.x com o script Exchange Health Checker, que gera relatórios de status em HTML.
- Para ambientes isolados, a Microsoft disponibilizou o Exchange on-premises Mitigation Tool, com o script EOMT.ps1 para uso manual.
Impacto operacional temporário
- A mitigação pode desativar temporariamente recursos do OWA, afetando impressão de calendários e exibição de imagens inline.
- Em alguns casos, imagens precisam ser enviadas como anexos.
- O OWA Light, versão antiga da interface, pode deixar de funcionar adequadamente, segundo a empresa.
Atualizações definitivas e ESU
- A Microsoft planeja um patch definitivo para as versões afetadas, com disponibilidade prevista para Exchange SE RTM, Exchange 2016 CU23 e Exchange 2019 CU14/CU15.
- Patch para 2016 e 2019 ficará restrito a clientes inscritos no Extended Security Update Período 2; ESU Período 1 já encerrou.
- A vulnerabilidade foi reportada por um pesquisador anônimo; detalhes sobre ataques e grupos não foram divulgados.
Entre na conversa da comunidade