A Microsoft divulgou uma vulnerabilidade zero-day no Exchange Server, identificada como CVE-2026-42897, que já é explorada ativamente em ataques reais. A falha de spoofing e cross-site scripting (XSS) afeta o Exchange Server Subscription Edition e as versões 2016 e 2019, atingindo o Outlook Web Access (OWA). Ainda não há patch permanente disponível — apenas mitigações temporárias. A revelação veio apenas 48 horas após o Patch Tuesday de maio, que havia surpreendido o mercado por não conter nenhum zero-day.
Na terça-feira, 12 de maio, a Microsoft publicou seu Patch Tuesday mensal corrigindo 137 vulnerabilidades — todas sem indicadores públicos de exploração ativa. A ausência de zero-days no ciclo foi recebida como um raro respiro pela comunidade de defesa corporativa. Esse intervalo durou exatamente dois dias: na quinta-feira, 14 de maio, a empresa publicou um aviso de segurança fora-do-ciclo, alertando que a CVE-2026-42897 estava sendo explorada antes da disponibilização de um patch oficial.
O zero-day foi reportado por um pesquisador anônimo e atinge o Exchange Server Subscription Edition (o novo modelo de licenciamento por assinatura), além das versões on-premises 2016 e 2019. Trata-se de uma falha de spoofing categorizada como cross-site scripting — uma neutralização inadequada de entrada durante a geração de páginas web no contexto do Outlook Web Access. A Microsoft confirmou exploração ativa, mas não divulgou detalhes técnicos sobre os ataques nem atribuição a grupos específicos.
Em comunicado posterior à SecurityWeek, a Microsoft recomendou que os clientes habilitem o Exchange Emergency Mitigation Service (EEMS) como camada provisória de proteção, enquanto a empresa trabalha em uma correção definitiva.
De acordo com o aviso técnico publicado pela Microsoft, a CVE-2026-42897 explora a forma como o servidor Exchange gera páginas web em respostas do OWA. A neutralização imprópria de entrada permite que um atacante remoto e não autenticado execute scripts maliciosos no contexto do navegador da vítima — o que abre caminho para roubo de sessão, redirecionamento para páginas falsificadas e ações em nome do usuário comprometido.
Embora seja classificada formalmente como spoofing, na prática a vulnerabilidade combina elementos de XSS persistente, sequestro de sessão e engenharia social — um vetor particularmente eficaz contra ambientes corporativos onde o Exchange ainda é o coração das comunicações internas e dos fluxos de autenticação federada com Active Directory.
“Emitimos a CVE-2026-42897 para tratar uma vulnerabilidade de spoofing que afeta o Exchange Outlook Web Access (OWA). Recomendamos que os clientes habilitem o EEMS como mitigação enquanto o patch permanente é finalizado.”
Comunicado oficial da Microsoft
Vale destacar que a CVE-2026-42897 ainda não foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA, embora a confirmação de exploração ativa pela própria Microsoft sugira inclusão iminente. O KEV atualmente lista cerca de duas dúzias de falhas históricas no Exchange Server — uma estatística que reforça o status do produto como alvo recorrente de grupos de ameaça avançada.
O timing da CVE-2026-42897 é particularmente irônico — e revelador. Surge logo após um Patch Tuesday classificado como “tranquilo” e ressalta um padrão que vem se consolidando: o ciclo mensal de correções da Microsoft está cada vez mais sendo desafiado por divulgações fora-do-ciclo motivadas por exploração real, o que indica uma assimetria crescente entre o ritmo de descoberta dos atacantes e o calendário operacional da Microsoft.
O Exchange Server permanece como um dos alvos mais valorizados em campanhas de espionagem patrocinadas por Estado e em operações ransomware. Casos como ProxyLogon (2021), ProxyShell (2021), as cadeias de bug do Hafnium e mais recentemente as falhas exploradas pelo grupo Storm-0558 mostraram que comprometer um servidor Exchange equivale, na prática, a comprometer toda a comunicação corporativa de uma organização. Cada novo zero-day no produto desperta a memória institucional dessas campanhas anteriores e justifica respostas em modo de incidente, mesmo antes de detalhes de exploração serem públicos.
A escolha da Microsoft de publicar primeiro mitigação e depois patch é coerente com o histórico recente do produto — o EEMS foi criado justamente para esses cenários — mas reforça uma realidade desconfortável: o Exchange on-premises segue sendo um produto frágil em uma era em que a própria fabricante priorizou nuvem. Para organizações que ainda não migraram para Exchange Online, o ônus operacional de manter o servidor seguro continua crescendo, e o intervalo entre alerta e mitigação efetiva passa a ser medido em horas, não dias.
Fonte: SecurityWeek
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…