A Microsoft confirmou nesta quinta-feira a exploração ativa de uma nova vulnerabilidade em versões on-premises do Exchange Server. Rastreada como CVE-2026-42897 (CVSS 8.1), a falha permite que um invasor execute JavaScript arbitrário no navegador da vítima a partir do envio de um email malicioso aberto no Outlook Web Access, atingindo Exchange 2016, 2019 e Subscription Edition. A empresa marcou o bug com a etiqueta “Exploitation Detected” e liberou apenas uma mitigação temporária, sem patch definitivo até o momento.
O aviso publicado pela Microsoft descreve a CVE-2026-42897 como um bug de spoofing que tem origem em uma falha de cross-site scripting. Segundo a empresa, “a neutralização imprópria de entrada durante a geração de páginas web” no Exchange Server permite que um invasor não autenticado realize ações de spoofing em rede. O crédito da descoberta foi atribuído a um pesquisador anônimo, que reportou a falha de forma responsável antes da divulgação pública.
O cenário de exploração descrito pela Microsoft é particularmente preocupante: basta o atacante enviar um email cuidadosamente construído para a caixa postal da vítima. Quando esse email é aberto no Outlook Web Access (OWA) e algumas “condições de interação adicionais” são satisfeitas, o payload JavaScript é executado no contexto do navegador do usuário autenticado. Isso transforma um simples email em um vetor de comprometimento de sessão, abrindo caminho para roubo de tokens, sequestro de identidade e movimentação lateral dentro do ambiente corporativo.
A Microsoft destacou que o Exchange Online não é afetado pela falha. O problema atinge exclusivamente as instalações locais, mantendo a pressão sobre organizações que ainda hospedam suas próprias caixas postais corporativas — frequentemente por exigências regulatórias, de soberania de dados ou simplesmente por dívida técnica.
O vetor principal explora a forma como o Exchange Server gera páginas dinâmicas no OWA. Conteúdo proveniente de emails recebidos não é devidamente sanitizado, e elementos HTML/JS embutidos acabam sendo refletidos de volta na sessão da vítima. Esse padrão clássico de XSS, quando combinado com o contexto privilegiado do OWA — que mantém cookies de sessão, tokens de acesso e credenciais ativas —, eleva a gravidade da falha de “incômodo” para “comprometimento de identidade”.
“A neutralização imprópria de entrada durante a geração de páginas web no Microsoft Exchange Server permite que um invasor não autorizado realize spoofing pela rede.”
Advisory da Microsoft sobre CVE-2026-42897
A Microsoft está distribuindo mitigação temporária via Exchange Emergency Mitigation Service (EEMS), um serviço já presente em instalações suportadas que aplica regras de reescrita de URL automaticamente. Para ambientes air-gapped ou com EEMS desativado, a recomendação é executar manualmente o Exchange On-premises Mitigation Tool (EOMT). O comando para servidor único é .\EOMT.ps1 -CVE "CVE-2026-42897", enquanto para varrer toda a organização a Microsoft sugere encadear Get-ExchangeServer com o filtro de servidores não-Edge.
Há um detalhe operacional importante: a Microsoft confirmou que existe um bug cosmético na mitigação. Mesmo quando a aplicação é bem-sucedida, o campo “Description” pode exibir “Mitigation invalid for this exchange version.” A própria equipe do Exchange reforça que o status “Applied” é o indicador confiável de sucesso, e que o problema visual está sendo investigado.
Estão na linha de fogo todas as instalações on-premises que ainda utilizam as seguintes versões do produto:
O escopo, portanto, cobre praticamente todo o parque ativo de Exchange on-prem suportado pela Microsoft. Organizações que mantêm versões fora do ciclo de suporte estão potencialmente em condição ainda pior, sem qualquer mitigação oficial disponível.
A CVE-2026-42897 entra em um padrão familiar para quem acompanha a saga do Exchange on-premises nos últimos anos. ProxyLogon em 2021, ProxyShell pouco depois, e a sequência de zero-days que culminou na imposição da Subscription Edition em 2025 já deixavam claro que esse produto continua sendo um alvo prioritário tanto para grupos de ransomware quanto para atores estatais. O OWA, em particular, segue como vetor preferido por sua exposição direta à internet em muitas configurações.
O fato de a Microsoft ter optado por liberar apenas mitigação — e não um patch definitivo — sugere que o desenvolvimento de uma correção robusta exige mudanças significativas no pipeline de renderização do OWA, possivelmente envolvendo alterações no parser HTML/MIME ou na Content Security Policy do componente. Essa é uma decisão técnica conservadora, mas que estende a janela de exposição para defensores que dependem da mitigação automática estar funcional e atualizada.
Comparando com incidentes anteriores, vale notar a baixa fricção do ataque: não há necessidade de credenciais, não há necessidade de acesso prévio à rede interna, e o gatilho é o comportamento mais comum em qualquer organização — ler um email. Ao mesmo tempo, a exigência de que o destinatário use OWA reduz o alcance em organizações que migraram totalmente para clientes desktop ou Outlook mobile. O risco real, portanto, está concentrado em ambientes híbridos onde OWA ainda é usado regularmente, especialmente por administradores e usuários com privilégios elevados.
Até o momento, não há detalhes públicos sobre quem está por trás da exploração ou em que escala. A Microsoft promete divulgar mais informações conforme avança a investigação, mas o histórico do produto sugere que outras campanhas — provavelmente com objetivos diferentes da inicial — devem aparecer rapidamente após a publicação do advisory.
Fonte: The Hacker News
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…