Microsoft подтвердила активные атаки с использованием новой уязвимости нулевого дня CVE-2026-42897 в локальных версиях Microsoft Exchange Server. Проблема позволяет злоумышленникам выполнять вредоносный JavaScript в браузере жертвы через специально сформированное электронное письмо.
Уязвимость получила оценку CVSS 8.1 и затрагивает Exchange Server 2016, Exchange Server 2019 и Subscription Edition. При этом облачный Exchange Online атаке не подвержен.
Особенность CVE-2026-42897 заключается в том, что злоумышленнику не требуется доступ к серверу или учетной записи. Достаточно отправить специально подготовленное письмо, после открытия которого через Outlook Web Access в браузере пользователя может выполниться произвольный код.
На фоне подтвержденной эксплуатации уязвимости Cybersecurity and Infrastructure Security Agency уже добавило проблему в каталог известных эксплуатируемых уязвимостей и обязало федеральные агентства устранить риск до 29 мая.
Пока полноценного исправления нет. Microsoft выпустила лишь временное экстренное решение через службу Exchange Emergency Mitigation Service. Оно автоматически применяет защитные правила для серверов Exchange, если сервис EEMS включен.
Однако у такого решения есть побочные эффекты. После применения защиты в Outlook Web Access перестает работать печать календаря, а встроенные изображения могут отображаться некорректно. Также фактически ломается устаревший интерфейс OWA Light.
Microsoft заявила, что полноценный патч находится в разработке, но сроки его выхода пока не раскрываются. Для Exchange Server 2016 и 2019 постоянное исправление будет доступно только пользователям программы Extended Security Updates.
Интересно, что уязвимость была обнаружена всего через несколько дней после майского обновления Patch Tuesday, в рамках которого Microsoft устранила более 120 проблем безопасности, но не упомянула данный zero-day.
Компания пока не раскрывает, кто именно стоит за атаками и какие организации уже могли пострадать.