Содержание
Если у вас в компании крутится Microsoft Exchange Server, есть повод напрячься: обнаружили 0-day уязвимость CVE-2026-42897, и её уже активно эксплуатируют. Microsoft выпустила меры снижения риска, но патча пока нет.
Сценарий атаки выглядит неприятно простым. Злоумышленнику достаточно отправить специально подготовленное письмо. Дальше жертва открывает его в Outlook Web Access (OWA), и при выполнении условий взаимодействия атакующий может запустить произвольный код JavaScript в контексте браузера.
Что именно сломалось и какие версии под ударом
Microsoft классифицирует CVE-2026-42897 как уязвимость класса spoofing. По данным компании, проблема затрагивает полностью обновлённые on-premises версии Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition (SE).
Формулировка из заявления команды Exchange звучит так: «An attacker could exploit this issue by sending a specially crafted email to a user. If the user opens the email in Outlook Web Access and certain interaction conditions are met, arbitrary JavaScript can be executed in the browser context». По сути, это атака через веб-интерфейс почты, где вредоносный JavaScript выполняется в браузере пользователя.
Патча нет, но Microsoft предлагает экстренную mitigation
Пока исправления в виде security update нет, Microsoft делает ставку на Exchange Emergency Mitigation Service (EEMS). Компания заявляет, что сервис может автоматически применить меры защиты для Exchange Server 2016/2019/SE в локальной инфраструктуре.
Microsoft прямо говорит, что включённый EM Service — самый быстрый способ снизить риск «прямо сейчас». И есть важное ограничение: если сервер работает на версии Exchange старее марта 2023 года, EM Service не сможет проверять новые mitigations.
Статус Exchange Emergency Mitigation Service Microsoft предлагает проверять через Exchange Health Checker. Ссылки на официальные инструкции и скрипт: пост команды Exchange на Microsoft Tech Community и Exchange Health Checker script.
Контекст: май выдался тяжёлым для безопасности Microsoft
На фоне этой истории Microsoft параллельно закрывает большой пул багов. За последнюю неделю, по данным компании, она исправила более 130 уязвимостей в рамках Patch Tuesday. Часть находок пришла из AI-системы поиска багов с кодовым именем MDASH (Multi-model Agentic Scanning Harness).
По CVE-2026-42897 Microsoft пока ограничилась mitigations и описанием вектора атаки через OWA: «all it takes is one malicious email».
