Опубликован эксплойт для критической XSS-уязвимости в Microsoft Exchange, атаки уже ведутся

Переводчик Google

Специалисты предупредили об активной эксплуатации уязвимости CVE-2026-42897 в Microsoft Exchange Server. Проблема представляет собой уязвимость межсайтового выполнения сценариев (Cross-Site Scripting, XSS), позволяющую злоумышленнику получить доступ к почтовому ящику пользователя через Outlook Web Access (OWA).

Уязвимость была устранена Microsoft 14 мая 2026 года вне традиционного цикла обновлений Patch Tuesday. Уже в день публикации компания сообщила о зафиксированных случаях эксплуатации, а 15 мая уязвимость была включена в каталог Known Exploited Vulnerabilities (KEV) агентства CISA. В тот же день на GitHub появился публичный PoC-эксплойт.

Как работает атака​

CVE-2026-42897 связана с некорректной обработкой пользовательского ввода при формировании веб-страниц (CWE-79).

Для эксплуатации злоумышленнику достаточно отправить жертве специально сформированное электронное письмо. Если пользователь откроет его через Outlook Web Access и выполнит необходимые действия, в браузере может быть выполнен произвольный JavaScript-код.

Это позволяет атакующему использовать активную пользовательскую сессию и получить контроль над почтовым ящиком без необходимости знать учётные данные пользователя.

Защита и исправления​

Изначально Microsoft рекомендовала использовать временные меры защиты, распространяемые через сервис Exchange Emergency Mitigation (EM) или с помощью сценария Exchange On-premises Mitigation Tool (EOMT).

Полноценные обновления безопасности для следующих версий Exchange Server были выпущены только 9 июня:

  • Exchange Server Subscription Edition RTM;
  • Exchange Server 2016;
  • Exchange Server 2019.
При этом Microsoft рекомендует не отключать ранее применённые меры смягчения даже после установки обновлений, поскольку они обеспечивают дополнительный уровень защиты.

Однако компания предупреждает, что включённые механизмы защиты могут вызывать побочные эффекты, включая ошибки при печати календарей и отображении изображений в Outlook Web Access.

Что важно знать​

Особое внимание следует обратить владельцам Exchange Server 2016 и 2019. Несмотря на завершение основной поддержки этих продуктов, они также подвержены CVE-2026-42897.

Получить обновления безопасности для этих версий могут только организации, участвующие в программе Extended Security Updates (ESU) Period 2. Она предоставляет исправления, выпускаемые с мая по октябрь 2026 года.

Почему это важно​

CVE-2026-42897 сочетает сразу несколько факторов высокого риска: наличие подтверждённых атак, включение в каталог CISA KEV и публикацию публичного эксплойта. Организациям, использующим локальные серверы Microsoft Exchange, рекомендуется как можно скорее установить соответствующие обновления безопасности и сохранить включёнными механизмы Exchange Emergency Mitigation для дополнительной защиты.

Источник
 
Назад
Сверху Снизу