Segui 
Microsoft ha divulgato una vulnerabilità che impatta sulle versioni on-premise di Exchange Server che è già in fase di sfruttamento attivo. Tracciata come CVE-2026-42897, la questione ha un punteggio CVSS di 8.1 e riguarda Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition, mentre Exchange Online non è impattato. Microsoft la descrive come un problema di spoofing radicato nel cross-site scripting che può essere innescato quando un utente apre un’email appositamente creata in Outlook Web Access in determinate condizioni di interazione.
Dal punto di vista di un difensore, la vulnerabilità CVE-2026-42897 è rilevante perché il percorso di exploit non inizia con una presa di controllo del server. Invece, l’attaccante invia un’email appositamente creata che può portare all’esecuzione di JavaScript arbitrario nella sessione del browser della vittima quando visualizzata tramite OWA, creando una via per lo spoofing e l’abuso di sessione nel contesto del client web. Al momento della divulgazione, Microsoft ha affermato di aver rilevato lo sfruttamento, ma i rapporti pubblici non hanno identificato l’attore della minaccia, i bersagli o l’entità complessiva della campagna.
Analisi di CVE-2026-42897
La vulnerabilità in CVE-2026-42897 è legata alla neutralizzazione impropria dell’input durante la generazione delle pagine web in Microsoft Exchange Server. Secondo la spiegazione pubblica di Microsoft, un attaccante può sfruttare la falla inviando un’email appositamente creata a un utente, che poi esegue JavaScript controllato dall’attaccante nel browser quando il messaggio viene aperto in OWA e le condizioni di interazione richieste sono soddisfatte. In termini pratici, il payload CVE-2026-42897 è il contenuto dell’email malevola stesso piuttosto che un binario rilasciato o un impianto lato server.
Per i team di sicurezza che effettuano l’analisi CVE-2026-42897, una limitazione chiave è la mancanza attuale di dettagli pubblici approfonditi sull’exploit. Non ci sono CVE-2026-42897 poc pubblici nelle fonti citate, e Microsoft non ha pubblicato CVE-2026-42897 iocs a livello di pacchetto o forensi. Questo significa che il rilevamento di CVE-2026-42897 è più probabile che si basi sull’identificazione delle implementazioni OWA on-prem esposte, sul monitoraggio dell’attività sospetta del browser guidata da email, e sulla verifica che la mitigazione d’emergenza di Microsoft sia stata applicata su tutti i server Exchange idonei.
Mitigazione CVE-2026-42897
La guida immediata di mitigazione CVE-2026-42897 di Microsoft è di fare affidamento sul Servizio di Mitigazione d’Emergenza di Exchange, che applica automaticamente la protezione attraverso una configurazione di URL Rewrite ed è abilitato per impostazione predefinita sulle implementazioni on-prem di Exchange supportate. Microsoft afferma che gli amministratori dovrebbero assicurarsi che il servizio Windows sia abilitato se è stato disattivato. L’azienda afferma anche che questa mitigazione è una misura temporanea mentre si prepara una correzione permanente.
Se il Servizio di Mitigazione d’Emergenza di Exchange non può essere utilizzato, ad esempio in ambienti isolati, Microsoft istruisce gli amministratori a distribuire lo strumento di Mitigazione On-premise di Exchange più recente (EOMT) e ad applicare la mitigazione specifica per il CVE sia su ciascun server che su tutti i server Exchange tramite Exchange Management Shell. In pratica, per Rilevare l’esposizione CVE-2026-42897, le organizzazioni dovrebbero esaminare tutti i sistemi Exchange on-prem visibili su internet, confermare se la mitigazione d’emergenza è stata applicata con successo, e dare priorità ai server abilitati a OWA che rimangono raggiungibili esternamente senza la mitigazione in atto.
FAQ
Cos’è CVE-2026-42897 e come funziona?
CVE-2026-42897 è un difetto di spoofing in Microsoft Exchange Server on-prem causato da un problema di cross-site scripting nella generazione di contenuti web correlati a OWA. Un’email appositamente creata può eseguire JavaScript arbitrario nel browser della vittima quando aperta in Outlook Web Access in determinate condizioni.
Quando è stata scoperta per la prima volta la CVE-2026-42897?
Le fonti pubbliche non rivelano una data di scoperta privata. Ciò che è confermato è che Microsoft ha divulgato pubblicamente la falla il 14 maggio 2026 e The Hacker News afferma che un ricercatore anonimo è stato accreditato per averla riportata.
Qual è l’impatto di CVE-2026-42897 sui sistemi?
L’impatto principale è l’esecuzione di JavaScript nel contesto del browser e lo spoofing contro gli utenti di Outlook Web Access negli ambienti on-prem di Exchange impattati. Non è descritto nelle fonti citate come esposizione di Exchange Online o esecuzione di codice remoto lato server diretta.
CVE-2026-42897 può ancora colpirmi nel 2026?
Sì. CVE-2026-42897 colpisce i sistemi Exchange Server 2016, 2019 e Subscription Edition on-prem nel 2026 se rimangono vulnerabili e la mitigazione di Microsoft non è stata applicata. Exchange Online è escluso dai prodotti impattati elencati nel rapporto.
Come posso proteggermi da CVE-2026-42897?
Applica la mitigazione d’emergenza di Microsoft attraverso il Servizio di Mitigazione d’Emergenza di Exchange, o utilizza lo strumento di Mitigazione On-premise di Exchange dove non è possibile la mitigazione automatica. Per i difensori in cerca di maggiori dettagli per CVE-2026-42897, l’approccio più sicuro al momento è verificare lo stato della mitigazione su ogni server Exchange esposto e ridurre l’esposizione inutile di OWA fino a quando Microsoft non rilascia la correzione permanente.
