Microsoft раскрыла уязвимость CVE-2026-42897 (CVSS 8.1) в локальных версиях Exchange Server, которая уже активно эксплуатируется злоумышленниками. Уязвимость типа межсайтового скриптинга позволяет выполнить произвольный JavaScript-код в браузере жертвы через специально сформированное электронное письмо, открытое в Outlook Web Access. Затронуты Exchange Server 2016, 2019 и Subscription Edition на любом уровне обновлений; облачный Exchange Online не подвержен. Постоянный патч пока не выпущен — Microsoft предлагает временные меры через Exchange Emergency Mitigation Service и скрипт EOMT, которые необходимо применить немедленно.

Технические детали уязвимости

Согласно бюллетеню Microsoft Security Response Center, CVE-2026-42897 классифицируется как «некорректная нейтрализация входных данных при генерации веб-страницы» (CWE-79 — межсайтовый скриптинг). Microsoft присвоила уязвимости статус «Exploitation Detected», что подтверждает факт активной эксплуатации в реальных атаках.

Вектор атаки выглядит следующим образом: злоумышленник отправляет жертве специально сформированное электронное письмо. Когда пользователь открывает это письмо через интерфейс Outlook Web Access и выполняет определённые действия (Microsoft описывает это как «certain interaction conditions»), в контексте браузера исполняется произвольный JavaScript-код. Это позволяет атакующему осуществить подмену (spoofing) по сети без предварительной аутентификации.

Оценка CVSS 8.1 относит уязвимость к категории высокой критичности. Несмотря на то что XSS-уязвимости часто воспринимаются как менее опасные по сравнению с удалённым выполнением кода, в контексте Exchange Server ситуация принципиально иная: выполнение JavaScript в сессии OWA потенциально открывает доступ к содержимому почтового ящика, токенам сессии и возможности действовать от имени скомпрометированного пользователя.

Затронутые продукты

Уязвимость распространяется на все локальные версии Exchange Server независимо от установленных обновлений:

• Exchange Server 2016 — любой уровень обновлений
• Exchange Server 2019 — любой уровень обновлений
• Exchange Server Subscription Edition (SE) — любой уровень обновлений

По данным Microsoft, Exchange Online не подвержен данной уязвимости. Это означает, что организации, полностью мигрировавшие на облачную инфраструктуру Microsoft 365, находятся вне зоны риска.

Что известно об эксплуатации

На момент публикации Microsoft не раскрыла деталей о том, какие именно группировки эксплуатируют уязвимость, каков масштаб атак и были ли они успешными. Отсутствует информация о целевых отраслях или регионах. Анонимный исследователь, обнаруживший и сообщивший о проблеме, также не идентифицирован публично.

Тем не менее сам факт присвоения статуса «Exploitation Detected» со стороны Microsoft — это сигнал, который нельзя игнорировать. Исторически Exchange Server остаётся одной из приоритетных целей для атакующих: достаточно вспомнить кампании с ProxyLogon и ProxyShell, которые привели к массовой компрометации тысяч организаций по всему миру.

Оценка воздействия

Наибольшему риску подвержены организации, которые продолжают использовать локальные инсталляции Exchange Server с открытым доступом к OWA из интернета. Это типичная конфигурация для государственных учреждений, финансовых организаций и предприятий, которые по регуляторным или инфраструктурным причинам не перешли на облачные решения.

Успешная эксплуатация XSS в контексте почтового сервера может привести к:

• Перехвату сессионных токенов и несанкционированному доступу к почтовым ящикам
• Фишинговым атакам от имени скомпрометированных пользователей внутри организации
• Краже конфиденциальных данных из переписки
• Использованию скомпрометированного доступа как плацдарма для дальнейшего продвижения в сети

Практические рекомендации по защите

Вариант 1: Exchange Emergency Mitigation Service (рекомендуемый)

Согласно документации Microsoft, служба Exchange Emergency Mitigation Service автоматически применяет временное исправление через конфигурацию перезаписи URL. Эта служба включена по умолчанию в поддерживаемых версиях Exchange Server. Если служба была отключена, её необходимо активировать немедленно.

Вариант 2: Ручное применение через EOMT (для изолированных сред)

Для серверов без доступа к интернету команда Exchange рекомендует использовать инструмент Exchange On-Premises Mitigation Tool (EOMT):

1. Загрузите актуальную версию EOMT с aka.ms/UnifiedEOMT
2. Для применения на одном сервере выполните в Exchange Management Shell с повышенными привилегиями:
   .\EOMT.ps1 -CVE "CVE-2026-42897"
3. Для применения на всех серверах (кроме Edge):
   Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

Известная косметическая ошибка

Microsoft подтвердила, что после применения исправления в поле Description может отображаться сообщение «Mitigation invalid for this exchange version». Это косметический дефект — если статус показывает «Applied», защита работает корректно. Microsoft работает над устранением этой проблемы отображения.

Организациям, эксплуатирующим локальные версии Exchange Server, следует применить временные меры защиты от CVE-2026-42897 в ближайшие часы, не дожидаясь выхода постоянного патча. Приоритет — серверы с OWA, доступным из интернета. После применения исправления убедитесь, что статус отображается как «Applied», и отслеживайте бюллетень MSRC для получения информации о выходе полноценного обновления безопасности.