On-prem Microsoft Exchange Server: CVE-2026-42897 explorada via email malicioso no OWA

A Microsoft confirmou nesta quinta-feira a exploração ativa de uma nova vulnerabilidade em versões on-premises do Exchange Server. Rastreada como CVE-2026-42897 (CVSS 8.1), a falha permite que um invasor execute JavaScript arbitrário no navegador da vítima a partir do envio de um email malicioso aberto no Outlook Web Access, atingindo Exchange 2016, 2019 e Subscription Edition. A empresa marcou o bug com a etiqueta “Exploitation Detected” e liberou apenas uma mitigação temporária, sem patch definitivo até o momento.

O que aconteceu

O aviso publicado pela Microsoft descreve a CVE-2026-42897 como um bug de spoofing que tem origem em uma falha de cross-site scripting. Segundo a empresa, “a neutralização imprópria de entrada durante a geração de páginas web” no Exchange Server permite que um invasor não autenticado realize ações de spoofing em rede. O crédito da descoberta foi atribuído a um pesquisador anônimo, que reportou a falha de forma responsável antes da divulgação pública.

O cenário de exploração descrito pela Microsoft é particularmente preocupante: basta o atacante enviar um email cuidadosamente construído para a caixa postal da vítima. Quando esse email é aberto no Outlook Web Access (OWA) e algumas “condições de interação adicionais” são satisfeitas, o payload JavaScript é executado no contexto do navegador do usuário autenticado. Isso transforma um simples email em um vetor de comprometimento de sessão, abrindo caminho para roubo de tokens, sequestro de identidade e movimentação lateral dentro do ambiente corporativo.

A Microsoft destacou que o Exchange Online não é afetado pela falha. O problema atinge exclusivamente as instalações locais, mantendo a pressão sobre organizações que ainda hospedam suas próprias caixas postais corporativas — frequentemente por exigências regulatórias, de soberania de dados ou simplesmente por dívida técnica.

Detalhes técnicos da vulnerabilidade

O vetor principal explora a forma como o Exchange Server gera páginas dinâmicas no OWA. Conteúdo proveniente de emails recebidos não é devidamente sanitizado, e elementos HTML/JS embutidos acabam sendo refletidos de volta na sessão da vítima. Esse padrão clássico de XSS, quando combinado com o contexto privilegiado do OWA — que mantém cookies de sessão, tokens de acesso e credenciais ativas —, eleva a gravidade da falha de “incômodo” para “comprometimento de identidade”.

“A neutralização imprópria de entrada durante a geração de páginas web no Microsoft Exchange Server permite que um invasor não autorizado realize spoofing pela rede.”

Advisory da Microsoft sobre CVE-2026-42897

A Microsoft está distribuindo mitigação temporária via Exchange Emergency Mitigation Service (EEMS), um serviço já presente em instalações suportadas que aplica regras de reescrita de URL automaticamente. Para ambientes air-gapped ou com EEMS desativado, a recomendação é executar manualmente o Exchange On-premises Mitigation Tool (EOMT). O comando para servidor único é .\EOMT.ps1 -CVE "CVE-2026-42897", enquanto para varrer toda a organização a Microsoft sugere encadear Get-ExchangeServer com o filtro de servidores não-Edge.

Há um detalhe operacional importante: a Microsoft confirmou que existe um bug cosmético na mitigação. Mesmo quando a aplicação é bem-sucedida, o campo “Description” pode exibir “Mitigation invalid for this exchange version.” A própria equipe do Exchange reforça que o status “Applied” é o indicador confiável de sucesso, e que o problema visual está sendo investigado.

Quem é afetado

Estão na linha de fogo todas as instalações on-premises que ainda utilizam as seguintes versões do produto:

• Exchange Server 2016 — em qualquer nível de atualização cumulativa
• Exchange Server 2019 — em qualquer nível de atualização cumulativa
• Exchange Server Subscription Edition (SE) — em qualquer nível de atualização

O escopo, portanto, cobre praticamente todo o parque ativo de Exchange on-prem suportado pela Microsoft. Organizações que mantêm versões fora do ciclo de suporte estão potencialmente em condição ainda pior, sem qualquer mitigação oficial disponível.

Análise

A CVE-2026-42897 entra em um padrão familiar para quem acompanha a saga do Exchange on-premises nos últimos anos. ProxyLogon em 2021, ProxyShell pouco depois, e a sequência de zero-days que culminou na imposição da Subscription Edition em 2025 já deixavam claro que esse produto continua sendo um alvo prioritário tanto para grupos de ransomware quanto para atores estatais. O OWA, em particular, segue como vetor preferido por sua exposição direta à internet em muitas configurações.

O fato de a Microsoft ter optado por liberar apenas mitigação — e não um patch definitivo — sugere que o desenvolvimento de uma correção robusta exige mudanças significativas no pipeline de renderização do OWA, possivelmente envolvendo alterações no parser HTML/MIME ou na Content Security Policy do componente. Essa é uma decisão técnica conservadora, mas que estende a janela de exposição para defensores que dependem da mitigação automática estar funcional e atualizada.

Comparando com incidentes anteriores, vale notar a baixa fricção do ataque: não há necessidade de credenciais, não há necessidade de acesso prévio à rede interna, e o gatilho é o comportamento mais comum em qualquer organização — ler um email. Ao mesmo tempo, a exigência de que o destinatário use OWA reduz o alcance em organizações que migraram totalmente para clientes desktop ou Outlook mobile. O risco real, portanto, está concentrado em ambientes híbridos onde OWA ainda é usado regularmente, especialmente por administradores e usuários com privilégios elevados.

Recomendações práticas

• Verifique imediatamente se o Exchange Emergency Mitigation Service está habilitado em todos os servidores Exchange on-premises e confirme que ele recebeu a mitigação para CVE-2026-42897.
• Para ambientes desconectados, baixe o EOMT mais recente em aka.ms/UnifiedEOMT e execute o script com o parâmetro -CVE específico em todos os servidores não-Edge.
• Considere desabilitar temporariamente o acesso ao OWA via internet, restringindo o uso a VPN ou clientes Outlook desktop até a publicação do patch definitivo.
• Reforce políticas de Content Security Policy e flags HttpOnly/Secure em cookies de sessão do Exchange, reduzindo o impacto de qualquer XSS bem-sucedido.
• Monitore logs do IIS e do Exchange em busca de requisições anômalas ao OWA, especialmente padrões de URL com payloads JavaScript codificados ou cabeçalhos suspeitos.
• Habilite MFA condicional para acesso ao OWA e revogue tokens de sessão antigos como medida de contenção preventiva.
• Comunique à equipe de helpdesk e usuários finais que emails inesperados, mesmo de remetentes aparentemente legítimos, devem ser tratados com cautela extra nas próximas semanas.

Até o momento, não há detalhes públicos sobre quem está por trás da exploração ou em que escala. A Microsoft promete divulgar mais informações conforme avança a investigação, mas o histórico do produto sugere que outras campanhas — provavelmente com objetivos diferentes da inicial — devem aparecer rapidamente após a publicação do advisory.

Fonte: The Hacker News