A Microsoft divulgou uma nova vulnerabilidade de segurança que afeta versões locais do Exchange Server e informou que a falha já está sendo explorada ativamente no ambiente real.
A vulnerabilidade, identificada como
CVE-2026-42897
e com pontuação CVSS de 8,1, foi descrita como um bug de personificação decorrente de uma falha de cross-site scripting.
Um pesquisador anônimo foi creditado pela descoberta e pelo reporte do problema.
“A neutralização inadequada de entradas durante a geração de páginas web no Microsoft Exchange Server permite que um atacante não autorizado realize personificação pela rede”, afirmou a empresa em um comunicado divulgado na quinta-feira.
A Microsoft, que classificou a falha com o status de “Exploitation Detected”, disse que um atacante pode transformar o problema em arma ao enviar um e-mail elaborado para um usuário.
Quando a mensagem é aberta no Outlook Web Access e algumas “condições específicas de interação” são atendidas, isso pode permitir a execução de código JavaScript arbitrário no contexto do navegador.
A empresa também informou que está oferecendo uma mitigação temporária por meio do Exchange Emergency Mitigation Service, enquanto prepara uma correção definitiva para o problema.
O Exchange Emergency Mitigation Service aplica a mitigação automaticamente por meio de uma configuração de reescrita de URL e vem ativado por padrão.
Se o serviço não estiver ativado, os usuários são orientados a habilitar o serviço do Windows.
Segundo a Microsoft, o Exchange Online não é impactado por essa vulnerabilidade.
Já as seguintes versões locais do Exchange Server estão afetadas:
Exchange Server 2016, em qualquer nível de atualização
Exchange Server 2019, em qualquer nível de atualização
Exchange Server Subscription Edition (SE), em qualquer nível de atualização
Se o uso do Exchange Emergency Mitigation Service não for uma opção por conta de restrições de ambiente isolado, a empresa orienta seguir estas ações:
Baixar a versão mais recente da ferramenta de mitigação para Exchange local, o EOMT, em aka[.]ms/UnifiedEOMT.
Aplicar a mitigação por servidor ou em todos os servidores de uma vez, executando o script via Exchange Management Shell (EMS) com privilégios elevados:
Servidor único: .\EOMT.ps1 -CVE "
CVE-2026-42897
"
Todos os servidores: Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "
CVE-2026-42897
"
A Microsoft também disse ter conhecimento de um problema já identificado em que a mitigação aparece com a mensagem “Mitigation invalid for this exchange version” no campo Description.
“Esse problema é apenas visual e a mitigação é aplicada com sucesso se o status aparecer como ‘Applied’”, informou a equipe do Exchange.
“Estamos investigando como resolver isso.”
Até o momento, não há detalhes sobre como a vulnerabilidade está sendo explorada, qual é a identidade do threat actor por trás da atividade ou qual é a dimensão das tentativas.
Também não está claro quem são os alvos nem se algum ataque teve sucesso.
Por enquanto, a recomendação é aplicar as mitigações indicadas pela Microsoft.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...