Специалисты Microsoft предупредили об атаках на новую zero-day уязвимость в Exchange Server, получившую идентификатор CVE-2026-42897. Проблема затрагивает Exchange Server 2016, 2019 и Subscription Edition (SE). Пока полноценного патча нет, в компании предлагают использовать временные защитные меры и рекомендуют администраторам срочно включить Exchange Emergency Mitigation Service (EEMS).

Согласно опубликованному Microsoft описанию проблемы, баг связан с XSS и спуфингом в Outlook Web Access (OWA). Для эксплуатации атакующему достаточно отправить жертве специально подготовленное письмо. Если пользователь откроет его через веб-интерфейс Outlook и выполнится ряд условий взаимодействия, в контексте браузера может быть выполнен произвольный jаvascript-код.

В компании подчеркивают, что уязвимость уже используется в реальных атаках, хотя никаких технических деталей об этих инцидентах пока не раскрывается. Также неизвестно, кто стоит за эксплуатацией бага. Сообщается лишь, что исходно проблему обнаружил анонимный исследователь.

В качестве временной защиты Microsoft предлагает использовать EEMS — сервис экстренных защитных мер для локальных Exchange-серверов. Эта функциональность появилась еще в 2021 году после массовых атак с эксплуатацией уязвимостей ProxyLogon и ProxyShell, когда хак-группы взламывали доступные через интернет Exchange-серверы до выхода патчей. Сервис автоматически применяет временные защитные меры для критических уязвимостей и работает как Windows-служба на Exchange Mailbox-серверах.

При этом в Microsoft отдельно предупреждают, что временные исправления могут вызывать побочные эффекты. Например, в OWA может перестать нормально работать функция Print Calendar, а встроенные изображения в письмах могут отображаться некорректно. Также может сломаться признанный устаревшим режим OWA Light.

Для изолированных сред компания советует использовать Exchange On-premises Mitigation Tool (EOMT) и вручную применять защиту через Exchange Management Shell.

Полноценные патчи для Exchange SE RTM, Exchange 2016 CU23 и Exchange 2019 CU14/CU15 разработчики обещают выпустить позже. Однако обновления для Exchange 2016 и 2019 получат только организации, подключенные к программе Extended Security Updates (ESU).