Seguir 
A Microsoft divulgou uma vulnerabilidade que impacta as versões locais do Exchange Server que já estão sendo exploradas ativamente em campo. Rastreada como CVE-2026-42897, a questão possui uma pontuação CVSS de 8.1 e afeta o Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, enquanto o Exchange Online não é impactado. A Microsoft descreve como um problema de falsificação enraizado em script entre sites que pode ser acionado quando um usuário abre um e-mail especialmente elaborado no Outlook Web Access sob certas condições de interação.
Do ponto de vista de um defensor, a vulnerabilidade CVE-2026-42897 é importante porque o caminho de exploração não começa com um controle do servidor. Em vez disso, o atacante envia um e-mail elaborado que pode levar à execução arbitrária de JavaScript na sessão do navegador da vítima quando visualizado através do OWA, criando uma rota para falsificação e abuso de sessão no contexto do cliente web. No momento da divulgação, a Microsoft disse que a exploração já havia sido detectada, mas os relatórios públicos não identificaram o ator da ameaça, os alvos ou a escala geral da campanha.
Análise do CVE-2026-42897
A vulnerabilidade no CVE-2026-42897 está ligada à neutralização inadequada de entrada durante a geração de páginas web no Microsoft Exchange Server. De acordo com a explicação pública da Microsoft, um atacante pode explorar a falha enviando um e-mail especialmente elaborado para um usuário, que então executa o JavaScript controlado pelo atacante no navegador quando a mensagem é aberta no OWA e as condições de interação necessárias são atendidas. Em termos práticos, a carga do CVE-2026-42897 é o próprio conteúdo malicioso do e-mail, em vez de um binário descartado ou implante no lado do servidor.
Para as equipes de segurança que realizam a análise do CVE-2026-42897, uma limitação chave é a atual falta de detalhes profundos sobre exploração pública. Não há um proof of concept (poc) público do CVE-2026-42897 nas fontes citadas, e a Microsoft não publicou iocs de nível de pacote ou forenses do CVE-2026-42897. Isso significa que a detecção do CVE-2026-42897 provavelmente dependerá da identificação de implantações locais OWA expostas, monitoramento de atividades suspeitas no navegador impulsionadas por e-mail e verificação de que a mitigação de emergência da Microsoft foi aplicada em todos os servidores Exchange elegíveis.
Mitigação do CVE-2026-42897
A orientação imediata de mitigação da Microsoft para o CVE-2026-42897 é confiar no Exchange Emergency Mitigation Service, que aplica proteção automaticamente por meio de uma configuração URL Rewrite e é habilitado por padrão em implantações locais do Exchange suportadas. A Microsoft afirma que os administradores devem garantir que o serviço Windows esteja habilitado se tiver sido desativado. A empresa também afirma que esta mitigação é uma medida temporária enquanto uma correção permanente está sendo preparada.
Se o Exchange Emergency Mitigation Service não puder ser usado, como em ambientes isolados, a Microsoft instrui os administradores a implantar a versão mais recente do Exchange On-premises Mitigation Tool (EOMT) e aplicar a mitigação específica do CVE por servidor ou em todos os servidores Exchange através do Exchange Management Shell. Na prática, para detectar a exposição do CVE-2026-42897, as organizações devem inventariar todos os sistemas locais do Exchange voltados para a internet, confirmar se a mitigação de emergência foi aplicada com sucesso e priorizar servidores habilitados para OWA que permanecem externamente acessíveis sem a mitigação em vigor.
FAQ
O que é o CVE-2026-42897 e como funciona?
CVE-2026-42897 é uma falha de falsificação no Microsoft Exchange Server local causada por um problema de script entre sites na geração de conteúdo web relacionado ao OWA. Um e-mail especialmente elaborado pode executar JavaScript arbitrário no navegador da vítima quando aberto no Outlook Web Access sob certas condições.
Quando o CVE-2026-42897 foi descoberto pela primeira vez?
As fontes públicas não revelam uma data de descoberta privada. O que está confirmado é que a Microsoft divulgou publicamente a falha em 14 de maio de 2026, e The Hacker News relata que um pesquisador anônimo foi creditado por relatar a falha.
Qual é o impacto do CVE-2026-42897 nos sistemas?
O principal impacto é a execução de JavaScript no contexto do navegador e falsificação contra os usuários do Outlook Web Access em ambientes locais do Exchange afetados. Não é descrito nas fontes citadas como exposição ao Exchange Online ou execução remota de código do lado do servidor diretamente.
O CVE-2026-42897 ainda pode me afetar em 2026?
Sim. O CVE-2026-42897 afeta os sistemas do Exchange Server 2016, 2019 e Subscription Edition locais em 2026 se eles permanecerem vulneráveis e a mitigação da Microsoft não tiver sido aplicada. O Exchange Online é excluído dos produtos afetados listados no relatório.
Como posso me proteger do CVE-2026-42897?
Aplique a mitigação de emergência da Microsoft através do Exchange Emergency Mitigation Service, ou use o Exchange On-premises Mitigation Tool onde a mitigação automática não é possível. Para defensores em busca de mais detalhes para CVE-2026-42897, a abordagem mais segura no momento é verificar o status da mitigação em cada servidor Exchange exposto e reduzir a exposição desnecessária ao OWA até que a Microsoft lance a correção permanente.
