Microsoft Exchange sob ataque: zero-day CVE-2026-42897 explorado 48h após Patch Tuesday

A Microsoft divulgou uma vulnerabilidade zero-day no Exchange Server, identificada como CVE-2026-42897, que já é explorada ativamente em ataques reais. A falha de spoofing e cross-site scripting (XSS) afeta o Exchange Server Subscription Edition e as versões 2016 e 2019, atingindo o Outlook Web Access (OWA). Ainda não há patch permanente disponível — apenas mitigações temporárias. A revelação veio apenas 48 horas após o Patch Tuesday de maio, que havia surpreendido o mercado por não conter nenhum zero-day.

O que aconteceu

Na terça-feira, 12 de maio, a Microsoft publicou seu Patch Tuesday mensal corrigindo 137 vulnerabilidades — todas sem indicadores públicos de exploração ativa. A ausência de zero-days no ciclo foi recebida como um raro respiro pela comunidade de defesa corporativa. Esse intervalo durou exatamente dois dias: na quinta-feira, 14 de maio, a empresa publicou um aviso de segurança fora-do-ciclo, alertando que a CVE-2026-42897 estava sendo explorada antes da disponibilização de um patch oficial.

O zero-day foi reportado por um pesquisador anônimo e atinge o Exchange Server Subscription Edition (o novo modelo de licenciamento por assinatura), além das versões on-premises 2016 e 2019. Trata-se de uma falha de spoofing categorizada como cross-site scripting — uma neutralização inadequada de entrada durante a geração de páginas web no contexto do Outlook Web Access. A Microsoft confirmou exploração ativa, mas não divulgou detalhes técnicos sobre os ataques nem atribuição a grupos específicos.

Em comunicado posterior à SecurityWeek, a Microsoft recomendou que os clientes habilitem o Exchange Emergency Mitigation Service (EEMS) como camada provisória de proteção, enquanto a empresa trabalha em uma correção definitiva.

Como o ataque funciona

De acordo com o aviso técnico publicado pela Microsoft, a CVE-2026-42897 explora a forma como o servidor Exchange gera páginas web em respostas do OWA. A neutralização imprópria de entrada permite que um atacante remoto e não autenticado execute scripts maliciosos no contexto do navegador da vítima — o que abre caminho para roubo de sessão, redirecionamento para páginas falsificadas e ações em nome do usuário comprometido.

Embora seja classificada formalmente como spoofing, na prática a vulnerabilidade combina elementos de XSS persistente, sequestro de sessão e engenharia social — um vetor particularmente eficaz contra ambientes corporativos onde o Exchange ainda é o coração das comunicações internas e dos fluxos de autenticação federada com Active Directory.

“Emitimos a CVE-2026-42897 para tratar uma vulnerabilidade de spoofing que afeta o Exchange Outlook Web Access (OWA). Recomendamos que os clientes habilitem o EEMS como mitigação enquanto o patch permanente é finalizado.”

Comunicado oficial da Microsoft

Vale destacar que a CVE-2026-42897 ainda não foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA, embora a confirmação de exploração ativa pela própria Microsoft sugira inclusão iminente. O KEV atualmente lista cerca de duas dúzias de falhas históricas no Exchange Server — uma estatística que reforça o status do produto como alvo recorrente de grupos de ameaça avançada.

Quem é afetado

• Microsoft Exchange Server Subscription Edition
• Microsoft Exchange Server 2019 (todas as build versions sem mitigação aplicada)
• Microsoft Exchange Server 2016 (todas as build versions sem mitigação aplicada)
• Organizações que mantêm Outlook Web Access exposto à internet pública
• Empresas em ambientes híbridos com servidores Exchange on-premises integrados ao Microsoft 365
• Setores regulados (finanças, saúde, governo) onde o Exchange permanece como peça crítica devido a requisitos de soberania de dados ou compliance

Análise

O timing da CVE-2026-42897 é particularmente irônico — e revelador. Surge logo após um Patch Tuesday classificado como “tranquilo” e ressalta um padrão que vem se consolidando: o ciclo mensal de correções da Microsoft está cada vez mais sendo desafiado por divulgações fora-do-ciclo motivadas por exploração real, o que indica uma assimetria crescente entre o ritmo de descoberta dos atacantes e o calendário operacional da Microsoft.

O Exchange Server permanece como um dos alvos mais valorizados em campanhas de espionagem patrocinadas por Estado e em operações ransomware. Casos como ProxyLogon (2021), ProxyShell (2021), as cadeias de bug do Hafnium e mais recentemente as falhas exploradas pelo grupo Storm-0558 mostraram que comprometer um servidor Exchange equivale, na prática, a comprometer toda a comunicação corporativa de uma organização. Cada novo zero-day no produto desperta a memória institucional dessas campanhas anteriores e justifica respostas em modo de incidente, mesmo antes de detalhes de exploração serem públicos.

A escolha da Microsoft de publicar primeiro mitigação e depois patch é coerente com o histórico recente do produto — o EEMS foi criado justamente para esses cenários — mas reforça uma realidade desconfortável: o Exchange on-premises segue sendo um produto frágil em uma era em que a própria fabricante priorizou nuvem. Para organizações que ainda não migraram para Exchange Online, o ônus operacional de manter o servidor seguro continua crescendo, e o intervalo entre alerta e mitigação efetiva passa a ser medido em horas, não dias.

Recomendações práticas

• Habilite imediatamente o Exchange Emergency Mitigation Service (EEMS) — esta é a contramedida oficial enquanto o patch definitivo não chega
• Avalie restringir o acesso ao Outlook Web Access via VPN, ZTNA ou IP allowlisting até que a correção seja publicada
• Revise logs do IIS e do Exchange em busca de requisições anômalas a endpoints do OWA, particularmente padrões que sugiram injeção em parâmetros
• Force a expiração de sessões ativas e exija reautenticação para usuários do OWA
• Implemente Content Security Policy (CSP) restritiva no OWA quando possível, reduzindo o impacto de scripts injetados
• Monitore atividades suspeitas em contas privilegiadas e em mailboxes de executivos, alvos típicos de grupos APT
• Acelere o planejamento de migração para Exchange Online quando viável; o custo operacional de manter Exchange on-premises seguro tende a crescer
• Acompanhe atualizações do catálogo KEV da CISA — a inclusão da CVE-2026-42897 deve ocorrer em breve e ativará prazos federais de remediação nos EUA

Fonte: SecurityWeek