팔로우 
Microsoft는 현재 이미 야생에서 활발하게 악용되고 있는 Exchange Server의 구내 버전에 영향을 미치는 취약점을 공개했습니다. CVE-2026-42897로 추적되는 이 문제는 CVSS 점수 8.1을 가지며 Exchange Server 2016, Exchange Server 2019 및 Exchange Server Subscription Edition에 영향을 미치며 Exchange Online에는 영향을 미치지 않습니다. Microsoft는 사용자가 특정 상호작용 조건에서 Outlook Web Access에서 특수하게 제작된 이메일을 열면 트리거될 수 있는 크로스 사이트 스크립팅에 뿌리를 둔 스푸핑 문제로 설명합니다.
방어자의 관점에서 볼 때, CVE-2026-42897 취약점은 서버 탈취로 시작되지 않기 때문에 문제가 됩니다. 대신 공격자는 조작된 이메일을 보내 피해자의 브라우저 세션에서 OWA를 통해 볼 때 임의의 JavaScript 실행으로 이어질 수 있으며, 이는 웹 클라이언트 컨텍스트에서 스푸핑 및 세션 남용으로 통하는 경로를 만듭니다. 공개 당시 Microsoft는 악용이 감지되었지만, 공개 보고에서 위협 행위자, 대상 또는 전체 캠페인 규모는 식별되지 않았습니다.
CVE-2026-42897 분석
CVE-2026-42897의 취약점은 Microsoft Exchange Server의 웹 페이지 생성 중 입력의 부적절한 중립화와 관련이 있습니다. Microsoft의 공개 설명에 따르면, 공격자는 특수하게 조작된 이메일을 사용자에게 발송하여 메시지가 OWA에서 열리고 필요한 상호작용 조건이 충족되면 공격자 제어의 JavaScript가 브라우저에서 실행되도록 함으로써 이 결함을 악용할 수 있습니다. 실질적으로, CVE-2026-42897 페이로드는 드롭된 바이너리나 서버 측 임플란트 대신 피싱 이메일 콘텐츠 자체입니다.
CVE-2026-42897 분석을 수행하는 보안 팀에게 한 가지 주요 제한 사항은 현재 깊이 있는 공개 악용 세부 정보의 부족입니다. 인용된 소스에서 공개된 CVE-2026-42897 poc가 없으며, Microsoft는 패킷 수준이나 포렌식 CVE-2026-42897 ioc를 공개하지 않았습니다. 이는 CVE-2026-42897 탐지를 위해 노출된 구내 OWA 배포를 식별하고, 의심스러운 이메일 기반 브라우저 활동을 모니터링하며, Microsoft의 긴급 완화 조치가 모든 적격 Exchange 서버에 적용되었는지 확인하는 것이 더 중요함을 의미합니다.
CVE-2026-42897 완화
Microsoft의 즉각적인 CVE-2026-42897 완화 지침은 URL 리라이트 구성을 통해 자동으로 보호를 적용하는 Exchange 긴급 완화 서비스를 사용하는 것이며, 지원되는 온프레미스 Exchange 배포에 기본적으로 활성화되어 있습니다. Microsoft는 관리자가 Windows 서비스가 비활성화된 경우 활성화해야 한다고 말합니다. 회사는 또한 이 완화가 영구적인 수정이 준비되고 있는 동안의 임시 조치라고 명시합니다.
Exchange 긴급 완화 서비스를 사용할 수 없는 경우, 예를 들어 에어갭 환경에서는 Microsoft가 관리자에게 최신 Exchange 온프레미스 완화 도구(EOMT)를 배포하고 CVE 특화 완화를 개별 서버 또는 Exchange 관리 셸을 통해 모든 Exchange 서버에 적용하도록 지시합니다. 실질적으로 CVE-2026-42897 노출을 탐지하려면 조직은 모든 인터넷 연결 구내 Exchange 시스템을 인벤토리하고, 긴급 완화가 성공적으로 적용되었는지 확인하며, 완화가 없는 상태로 외부에서 접근 가능한 OWA 활성화 서버를 우선적으로 다뤄야 합니다.
FAQ
CVE-2026-42897이란 무엇이며 어떻게 작동합니까?
CVE-2026-42897은 OWA 관련 웹 콘텐츠 생성의 크로스 사이트 스크립팅 이슈로 인해 발생하는 구내 Microsoft Exchange Server의 스푸핑 결함입니다. 특수하게 제작된 이메일은 특정 조건에서 Outlook Web Access에서 열리면 피해자의 브라우저에서 임의의 JavaScript를 실행할 수 있습니다.
CVE-2026-42897은 언제 처음 발견되었습니까?
공개 소스에서는 민간 과학 발견 날짜를 공개하지 않습니다. 확인된 바에 따르면 Microsoft는 2026년 5월 14일에 결함을 공개했으며, The Hacker News는 익명의 연구자가 보고한 것으로 기록되었습니다.
CVE-2026-42897이 시스템에 미치는 영향은 무엇입니까?
주요 영향은 영향을 받는 구내 Exchange 환경에서 Outlook Web Access 사용자를 대상으로 한 브라우저 컨텍스트 JavaScript 실행 및 스푸핑입니다. 인용된 소스에서는 Exchange Online 노출이나 서버 측 원격 코드 실행에 대한 직접적인 설명은 없습니다.
CVE-2026-42897이 2026년에 여전히 영향을 줄 수 있습니까?
네. CVE-2026-42897은 2026년에 구내 Exchange Server 2016, 2019, 및 Subscription Edition 시스템에 영향을 미치며, 취약한 상태로 남아 있고 Microsoft의 완화가 적용되지 않은 경우입니다. Exchange Online은 보고서에 나열된 영향을 받는 제품에서 제외되었습니다.
CVE-2026-42897로부터 자신을 보호하는 방법은 무엇입니까?
Exchange 긴급 완화 서비스를 통한 Microsoft의 응급 완화를 적용하거나 자동 완화가 불가능한 경우 Exchange 온프레미스 완화 도구를 사용하십시오. CVE-2026-42897에 대한 추가 세부 정보를 원하는 방어자들은 모든 노출된 Exchange 서버에서 완화 상태를 확인하고 Microsoft가 영구적인 수정을 발표할 때까지 불필요한 OWA 노출을 줄이는 것이 현재로서는 가장 안전한 방법입니다.
