Нулевой день в сервере Microsoft Exchange эксплуатируется с помощью поддельных писем

Microsoft подтвердила активную эксплуатацию CVE-2026-42897, нулевого дня в локальном Exchange Server, который позволяет злоумышленникам выполнить произвольный JavaScript в браузере жертвы, отправив поддельное письмо. Постоянного исправления не существует. Microsoft выпустила экстренное исправление 14 мая, а на следующий день CISA добавила недостаток в свой каталог известных эксплуатируемых уязвимостей, требуя от федеральных агентств устранить его до 29 мая. Exchange Online не затронут.

Что делает CVE-2026-42897

CVE-2026-42897 это дефект межсайтового скриптинга в компоненте Outlook Web Access локального сервера Microsoft Exchange Server, получивший оценку CVSS 8.1. Злоумышленник отправляет целевому адресату специально созданное письмо. Когда получатель открывает его в OWA при определенных условиях взаимодействия, произвольный JavaScript выполняется внутри сессии браузера.

Microsoft классифицирует уязвимость как проблему спуфинга, корни которой кроются в неправильной нейтрализации входных данных при генерации веб-страницы. Путь атаки не требует аутентификации или доступа к серверу. Он начинается с ввода данных.

Кто затронут

Дефект затрагивает локальные серверы Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition на любом уровне обновления. Exchange Online не уязвим.

Местный Exchange занимает центральное место в корпоративной электронной почте для правительств, финансовых учреждений и предприятий, которые еще не перешли на облачные технологии. В каталоге известных эксплуатируемых уязвимостей CISA перечислено уже около двух десятков дефектов Exchange Server, и группы, разрабатывающие программы-вымогатели, использовали некоторые из них для взлома целей. CVE-2026-42897 появился всего через два дня после майского Patch Tuesday, который исправил 120 уязвимостей, но не раскрыл ни одной "нулевой дыры" в примечаниях к выпуску.

Устранение недостатка

Компания Microsoft выпустила временное исправление через свою службу Exchange Emergency Mitigation Serviceобозначенную как M2.1.x. EEMS применяет смягчение автоматически через конфигурацию перезаписи URL на серверах Exchange Mailbox, где эта служба включена по умолчанию. Администраторы могут проверить статус с помощью скрипта Exchange Health Checker по адресу aka.ms/ExchangeHealthChecker.

В средах с воздушной завесой или отключением, где EEMS не может связаться с серверами Microsoft, администраторы должны вручную загрузить последнюю версию Exchange On-premises Mitigation Tool и запустить ее с помощью оболочки Exchange Management Shell. Команда нацелена на один сервер или может быть запущена сразу на весь парк Exchange.

Есть одна косметическая проблема, о которой следует знать. На некоторых серверах в поле описания статус исправления будет отображаться как "Исправление недействительно для этой версии Exchange". Microsoft подтверждает, что в этих случаях исправление применено правильно, если в колонке статуса указано "Применено". Отображаемый текст - это известная косметическая ошибка, по которой ведется расследование.

Побочные эффекты исправления

Применение исправления имеет функциональные последствия. Функция OWA Print Calendar перестает работать после применения исправления. Встроенные изображения больше не отображаются корректно в панелях чтения получателей в Outlook Web Access.

OWA Light, устаревший интерфейс, доступ к которому осуществлялся по URL, заканчивающемуся на /?layout=light, также перестанет работать после применения исправления. Компания Microsoft устарела много лет назад и не считает этот интерфейс пригодным для производства, но организациям, которые все еще используют его, придется направлять пользователей через стандартный URL OWA.

Постоянного исправления пока нет

Microsoft разрабатывает постоянное исправление и пока не подтвердила сроки его выпуска. Когда оно будет доступно, Exchange Server Subscription Edition получит его через стандартный канал обновлений. Exchange Server 2016 и 2019 получат постоянное исправление только через программу расширенных обновлений безопасности Microsoft Period 2.

Организации, работающие с любой из старых версий без участия ESU, будут оставаться незащищенными до тех пор, пока не применят аварийное исправление вручную. CISA добавила CVE-2026-42897 в каталог известных эксплуатируемых уязвимостей 15 мая и требует от федеральных гражданских учреждений исполнительной власти устранить проблему до 29 мая. Компания Microsoft не назвала исполнителей активных атак и не раскрыла, на какие организации они нацелены.

Время появления CVE-2026-42897 находится на другом конце жизненного цикла уязвимости по сравнению с проактивным обнаружением. Модель искусственного интеллекта MDASH от Microsoft недавно выявила 16 критических недостатков Windows до того, как злоумышленники смогли до них добраться - такой подход к обнаружению, который CVE-2026-42897 полностью обошел.