Стежити 
Microsoft розкрила вразливість, що впливає на локальні версії Exchange Server, яка вже експлуатується активно в дикій природі. Відома як CVE-2026-42897, проблема має оцінку CVSS 8.1 і впливає на Exchange Server 2016, Exchange Server 2019 та Exchange Server Subscription Edition, в той час як Exchange Online не піддається впливу. Microsoft описує її як проблему підробки, вкорінену в міжсайтовому сценарії, яку можна ініціювати, коли користувач відкриває спеціально підготовлений електронний лист в Outlook Web Access за певних умов взаємодії.
З точки зору захисника, вразливість CVE-2026-42897 важлива, оскільки шлях експлуатації не починається з захоплення сервера. Замість цього зловмисник надсилає створений електронний лист, який може призвести до виконання довільного JavaScript в сесії браузера жертви при перегляді через OWA, створюючи шлях до підробки і зловживання сесією в контексті веб-клієнта. На момент розкриття, Microsoft з’ясувала, що експлуатація була виявлена, але публічні повідомлення не ідентифікували фактора загрози, цілі чи масштаб загальної кампанії.
Аналіз CVE-2026-42897
Вразливість у CVE-2026-42897 пов’язана з неправильною нейтралізацією вхідних даних під час створення веб-сторінки у Microsoft Exchange Server. За публічним поясненням Microsoft, зловмисник може експлуатувати дефект, відправляючи спеціально створений електронний лист користувачу, який потім виконує JavaScript, контрольований зловмисником, у браузері, коли повідомлення відкривається в OWA і виконано необхідні умови взаємодії. У практичному плані, CVE-2026-42897 є шкідливим вмістом електронного листа, а не впровадженим бінарним або серверним зразком.
Для команд безпеки, що проводять аналіз CVE-2026-42897, однією з ключових обмежень є поточна відсутність детальних публічних відомостей про експлуатацію. У цитованих джерелах немає доступної публічної CVE-2026-42897 poc, і Microsoft не опублікувала iocs рівня пакета або судово-медичні аналізи CVE-2026-42897. Це означає, що виявлення CVE-2026-42897, ймовірніше, покладається на виявлення відкритих локальних розгортань OWA, моніторинг підозрілої активності браузера, викликаної електронною поштою, та перевірку, що надзвичайне пом’якшення Microsoft було застосовано на всіх придатних серверах Exchange.
Пом’якшення CVE-2026-42897
Негайні рекомендації від Microsoft щодо пом’якшення наслідків CVE-2026-42897 полягають у сподіванні на Exchange Emergency Mitigation Service, який автоматично застосовує захист через конфігурацію URL Rewrite і включений за замовчуванням на підтримуваних локальних розгортаннях Exchange. Microsoft каже, що адміністратори повинні переконатися, що служба Windows увімкнена, якщо вона була вимкнена. Компанія також заявляє, що це пом’якшення є тимчасовим заходом в той час, як готується постійне виправлення.
Якщо Exchange Emergency Mitigation Service не може бути використана, наприклад, у середовищах без з’єднання з інтернетом, Microsoft інструктує адміністраторів розгорнути останній Exchange On-premises Mitigation Tool (EOMT) і застосувати специфічне пом’якшення CVE або для кожного сервера, або на всіх серверах Exchange через Exchange Management Shell. У практиці, щоб виявити експозицію CVE-2026-42897, організації повинні інвентаризувати всі системи Exchange з доступом до інтернету, підтвердити, чи було успішно застосовано надзвичайне пом’якшення, і пріоритизувати сервери з увімкненим OWA, які залишаються зовнішньо доступними без встановленого пом’якшення.
FAQ
Що таке CVE-2026-42897 і як це працює?
CVE-2026-42897 – це уразливість підробки в локальних Microsoft Exchange Server, що викликана проблемою міжсайтового сценарія в OWA-пов’язаному генеруванні веб-вмісту. Спеціально підготовлений електронний лист може виконати довільний JavaScript в браузері жертви, коли він відкривається в Outlook Web Access за певних умов.
Коли було вперше виявлено CVE-2026-42897?
Публічні джерела не розкривають дату приватного виявлення. Що підтверджено, це те, що Microsoft публічно розкрила уразливість 14 травня 2026 року, а The Hacker News зазначає, що анонімний дослідник отримав кредити за повідомлення про неї.
Який вплив CVE-2026-42897 на системи?
Основний вплив полягає у виконанні JavaScript у контексті браузера та підробці проти користувачів Outlook Web Access на уражених локальних середовищах Exchange. У цитованих джерелах не описується вплив на Exchange Online або безпосереднє виконання віддаленого коду на стороні сервера.
Чи може CVE-2026-42897 все ще впливати на мене у 2026 році?
Так. CVE-2026-42897 впливає на локальні системи Exchange Server 2016, 2019 і Subscription Edition у 2026 році, якщо вони залишаться вразливими і Microsoft не застосувала пом’якшення. Exchange Online виключено з переліку уражених продуктів у звіті.
Як я можу захиститися від CVE-2026-42897?
Застосуйте надзвичайне пом’якшення Microsoft через Exchange Emergency Mitigation Service або використовуйте Exchange On-premises Mitigation Tool, де автоматичне пом’якшення є неможливим. Для захисників, які шукають більше деталей щодо CVE-2026-42897, найбезпечніший нинішній підхід полягає у перевірці статусу пом’якшення на кожному відкритому сервері Exchange і зменшенні непотрібного впливу OWA до тих пір, поки Microsoft не випустить постійне виправлення.
