Специалисты предупредили об активной эксплуатации уязвимости CVE-2026-42897 в Microsoft Exchange Server. Проблема представляет собой уязвимость межсайтового выполнения сценариев (Cross-Site Scripting, XSS), позволяющую злоумышленнику получить доступ к почтовому ящику пользователя через Outlook Web Access (OWA).
Уязвимость была устранена Microsoft 14 мая 2026 года вне традиционного цикла обновлений Patch Tuesday. Уже в день публикации компания сообщила о зафиксированных случаях эксплуатации, а 15 мая уязвимость была включена в каталог Known Exploited Vulnerabilities (KEV) агентства CISA. В тот же день на GitHub появился публичный PoC-эксплойт.
Для эксплуатации злоумышленнику достаточно отправить жертве специально сформированное электронное письмо. Если пользователь откроет его через Outlook Web Access и выполнит необходимые действия, в браузере может быть выполнен произвольный JavaScript-код.
Это позволяет атакующему использовать активную пользовательскую сессию и получить контроль над почтовым ящиком без необходимости знать учётные данные пользователя.
Полноценные обновления безопасности для следующих версий Exchange Server были выпущены только 9 июня:
Однако компания предупреждает, что включённые механизмы защиты могут вызывать побочные эффекты, включая ошибки при печати календарей и отображении изображений в Outlook Web Access.
Получить обновления безопасности для этих версий могут только организации, участвующие в программе Extended Security Updates (ESU) Period 2. Она предоставляет исправления, выпускаемые с мая по октябрь 2026 года.
Источник
Уязвимость была устранена Microsoft 14 мая 2026 года вне традиционного цикла обновлений Patch Tuesday. Уже в день публикации компания сообщила о зафиксированных случаях эксплуатации, а 15 мая уязвимость была включена в каталог Known Exploited Vulnerabilities (KEV) агентства CISA. В тот же день на GitHub появился публичный PoC-эксплойт.
Как работает атака
CVE-2026-42897 связана с некорректной обработкой пользовательского ввода при формировании веб-страниц (CWE-79).Для эксплуатации злоумышленнику достаточно отправить жертве специально сформированное электронное письмо. Если пользователь откроет его через Outlook Web Access и выполнит необходимые действия, в браузере может быть выполнен произвольный JavaScript-код.
Это позволяет атакующему использовать активную пользовательскую сессию и получить контроль над почтовым ящиком без необходимости знать учётные данные пользователя.
Защита и исправления
Изначально Microsoft рекомендовала использовать временные меры защиты, распространяемые через сервис Exchange Emergency Mitigation (EM) или с помощью сценария Exchange On-premises Mitigation Tool (EOMT).Полноценные обновления безопасности для следующих версий Exchange Server были выпущены только 9 июня:
- Exchange Server Subscription Edition RTM;
- Exchange Server 2016;
- Exchange Server 2019.
Однако компания предупреждает, что включённые механизмы защиты могут вызывать побочные эффекты, включая ошибки при печати календарей и отображении изображений в Outlook Web Access.
Что важно знать
Особое внимание следует обратить владельцам Exchange Server 2016 и 2019. Несмотря на завершение основной поддержки этих продуктов, они также подвержены CVE-2026-42897.Получить обновления безопасности для этих версий могут только организации, участвующие в программе Extended Security Updates (ESU) Period 2. Она предоставляет исправления, выпускаемые с мая по октябрь 2026 года.
Почему это важно
CVE-2026-42897 сочетает сразу несколько факторов высокого риска: наличие подтверждённых атак, включение в каталог CISA KEV и публикацию публичного эксплойта. Организациям, использующим локальные серверы Microsoft Exchange, рекомендуется как можно скорее установить соответствующие обновления безопасности и сохранить включёнными механизмы Exchange Emergency Mitigation для дополнительной защиты.Источник