Microsoft публикува спешни препоръки за ограничаване на нова критична уязвимост в Microsoft Exchange Server, която вече се използва в реални атаки. Проблемът позволява изпълнение на произволен код чрез cross-site scripting (XSS) атаки срещу потребители на Outlook on the web.

Уязвимостта е проследена като CVE-2026-42897 и засяга актуализирани инсталации на:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

Атаките се извършват чрез специално подготвени имейли

Според Microsoft атакуващите могат да изпратят специално изготвен имейл до жертвата. Ако потребителят отвори съобщението през Outlook Web Access (OWA) и бъдат изпълнени определени условия за взаимодействие, в браузърната сесия може да бъде стартиран злонамерен JavaScript код.

Това потенциално позволява:

• кражба на сесийни токени;
• изпълнение на действия от името на потребителя;
• компрометиране на Exchange акаунти;
• последващи атаки във вътрешната инфраструктура.

Все още няма официални пачове

Microsoft потвърждава, че към момента няма налични постоянни корекции за CVE-2026-42897. Вместо това компанията препоръчва използването на Exchange Emergency Mitigation Service (EEMS), който автоматично прилага временни защитни мерки.

EEMS беше въведен през 2021 г. след мащабните атаки с ProxyLogon и ProxyShell срещу публично достъпни Exchange сървъри. Услугата функционира като Windows service на Exchange Mailbox сървърите и автоматично се активира при системи с Mailbox роля.

Microsoft подчертава, че това е най-бързият начин организациите да ограничат риска:

„Използването на EM Service е най-добрият начин организацията ви незабавно да смекчи тази уязвимост.“

Компанията предупреждава, че сървъри с версии, по-стари от март 2023 г., няма да могат да получават нови mitigation правила чрез EEMS.

Защита за изолирани среди

За организации с air-gapped среди Microsoft предоставя възможност за ръчно прилагане на защитата чрез Exchange On-premises Mitigation Tool (EOMT).

Администраторите могат да приложат mitigation скрипта чрез Exchange Management Shell с команди като:

.\EOMT.ps1 -CVE "CVE-2026-42897"

или за всички Exchange сървъри:

Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

Прилагането на mitigation води до странични ефекти

Microsoft предупреждава, че временната защита може да причини определени функционални проблеми в Outlook Web Access:

• функцията за печат на календар може да не работи;
• inline изображенията в OWA могат да не се визуализират коректно;
• режимът OWA Light няма да функционира правилно.

Като временни решения Microsoft препоръчва използване на Outlook Desktop клиента или изпращане на изображения като прикачени файлове.

Пачове ще има само за клиенти с ESU програма

Компанията планира бъдещи обновления за:

• Exchange SE RTM
• Exchange 2016 CU23
• Exchange 2019 CU14 и CU15

Въпреки това Microsoft уточнява, че обновления за Exchange 2016 и 2019 ще бъдат достъпни само за организации, включени в програмата Period 2 Exchange Server ESU (Extended Security Updates).

Exchange остава основна мишена за атакуващите

През последните години Exchange Server продължава да бъде една от най-атакуваните корпоративни платформи. Само за последните пет години Cybersecurity and Infrastructure Security Agency е добавила 19 Exchange уязвимости към каталога си с активно експлоатирани слабости, като 14 от тях са били използвани и в ransomware кампании.

След края на поддръжката за Exchange 2016 и 2019 през октомври, Cybersecurity and Infrastructure Security Agency и National Security Agency публикуваха специални препоръки за допълнително укрепване на Exchange инфраструктури срещу съвременни атаки.