A Microsoft corrigiu uma vulnerabilidade ativamente explorada no Exchange Server que permite que threat actors executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) contra usuários do Outlook Web Access.
A falha de spoofing de alta gravidade, identificada como
CVE-2026-42897
, afeta o Exchange Server 2016, o Exchange Server 2019 e o Exchange Server Subscription Edition (SE).
Ela pode ser explorada remotamente, sem necessidade de privilégios.
"Um invasor poderia explorar esse problema enviando um email especialmente criado para um usuário.
Se o usuário abrir a mensagem no Outlook Web Access e certas condições de interação forem atendidas, JavaScript arbitrário poderá ser executado no contexto do navegador", afirmou a equipe do Exchange em meados de maio, quando a Microsoft passou a aplicar automaticamente uma mitigação temporária por meio do Exchange Emergency Mitigation Service (EEMS).
A Microsoft não havia respondido às perguntas sobre os ataques que exploram a
CVE-2026-42897
até a publicação original da reportagem.
Nesta quarta-feira, a Microsoft lançou atualizações de segurança para corrigir a falha nas instalações afetadas do Exchange Server e recomendou que administradores as implementem o mais rápido possível, mantendo as mitigações ativas para proteção adicional.
"A Microsoft recomenda instalar as Atualizações de Segurança de junho de 2026 para sua versão do Exchange Server o mais rápido possível, para ficar protegido contra essa vulnerabilidade", informou a empresa em uma atualização do aviso de segurança original.
"No âmbito de nossos esforços contínuos para fortalecer a segurança e aprimorar as defesas em todos os ambientes, seguimos ampliando as proteções contra ataques de cross-site scripting.
Recomendamos que os clientes mantenham a mitigação descrita em vigor.
Ela fornece uma camada adicional de defesa e ajuda a garantir proteção contínua enquanto novas melhorias são lançadas."
A Cybersecurity and Infrastructure Security Agency também adicionou a vulnerabilidade, em 15 de maio, à sua lista de falhas exploradas em ambiente real e determinou que agências do governo dos EUA corrigissem seus servidores em até duas semanas, até 29 de maio.
Nos últimos cinco anos, a CISA incluiu 20 vulnerabilidades do Microsoft Exchange Server em sua lista de falhas de segurança exploradas, e grupos de ransomware exploraram 14 delas.
Em outubro, poucas semanas depois de o Exchange 2016 e o 2019 chegarem ao fim do suporte, a CISA e a National Security Agency (NSA) também divulgaram orientações para fortalecer os servidores Exchange contra ataques.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...