Microsoft розкрила вразливість CVE-2026-42897 (CVSS 8.1) у локальних версіях Exchange Server, яку вже активно експлуатують зловмисники. Вразливість типу міжсайтового скриптингу (XSS) дає змогу виконати довільний JavaScript-код у браузері жертви через спеціально сформований електронний лист, відкритий в Outlook Web Access. Уразливі Exchange Server 2016, 2019 і Subscription Edition на будь-якому рівні оновлень; хмарний Exchange Online не піддається атаці. Постійний патч поки що не випущено — Microsoft пропонує тимчасові заходи через Exchange Emergency Mitigation Service та скрипт EOMT, які необхідно застосувати негайно.

Технічні деталі вразливості

Згідно з бюлетенем Microsoft Security Response Center, CVE-2026-42897 класифіковано як «некоректна нейтралізація вхідних даних під час генерування вебсторінки» (CWE-79 — міжсайтовий скриптинг). Microsoft присвоїла вразливості статус «Exploitation Detected», що підтверджує факт її активної експлуатації в реальних атаках.

Вектор атаки виглядає так: зловмисник надсилає жертві спеціально сформований електронний лист. Коли користувач відкриває цей лист через інтерфейс Outlook Web Access і виконує певні дії (Microsoft описує це як «certain interaction conditions»), у контексті браузера виконується довільний JavaScript-код. Це дає змогу атакувальнику здійснити підміну (spoofing) у мережі без попередньої автентифікації.

Оцінка CVSS 8.1 відносить вразливість до категорії високої критичності. Попри те що XSS-вразливості часто сприймають як менш небезпечні порівняно з віддаленим виконанням коду, у контексті Exchange Server ситуація принципово інша: виконання JavaScript у сесії OWA потенційно відкриває доступ до вмісту поштової скриньки, сесійних токенів і можливості діяти від імені скомпрометованого користувача.

Уразливі продукти

Вразливість поширюється на всі локальні версії Exchange Server незалежно від установлених оновлень:

• Exchange Server 2016 — будь-який рівень оновлень
• Exchange Server 2019 — будь-який рівень оновлень
• Exchange Server Subscription Edition (SE) — будь-який рівень оновлень

За даними Microsoft, Exchange Online не вразливий до цієї вразливості. Це означає, що організації, які повністю мігрували на хмарну інфраструктуру Microsoft 365, перебувають поза зоною ризику.

Що відомо про експлуатацію

На момент публікації Microsoft не розкрила деталей щодо того, які саме угруповання експлуатують вразливість, який масштаб атак і чи були вони успішними. Відсутня інформація про цільові галузі або регіони. Анонімний дослідник, який виявив і повідомив про проблему, також публічно не ідентифікований.

Водночас сам факт присвоєння статусу «Exploitation Detected» з боку Microsoft — це сигнал, який не можна ігнорувати. Історично Exchange Server залишається однією з пріоритетних цілей для атакувальників: достатньо згадати кампанії з ProxyLogon і ProxyShell, які призвели до масової компрометації тисяч організацій по всьому світу.

Оцінка впливу

Найбільшому ризику піддаються організації, які продовжують використовувати локальні інсталяції Exchange Server з відкритим доступом до OWA з інтернету. Це типова конфігурація для державних установ, фінансових організацій і підприємств, які з регуляторних або інфраструктурних причин не перейшли на хмарні рішення.

Успішна експлуатація XSS у контексті поштового сервера може призвести до:

• перехоплення сесійних токенів і несанкціонованого доступу до поштових скриньок
• фішингових атак від імені скомпрометованих користувачів усередині організації
• крадіжки конфіденційних даних із листування
• використання скомпрометованого доступу як плацдарму для подальшого просування в мережі

Практичні рекомендації щодо захисту

Варіант 1: Exchange Emergency Mitigation Service (рекомендований)

Згідно з документацією Microsoft, служба Exchange Emergency Mitigation Service автоматично застосовує тимчасове виправлення через конфігурацію перезапису URL. Ця служба ввімкнена за замовчуванням у підтримуваних версіях Exchange Server. Якщо службу було вимкнено, її необхідно негайно активувати.

Варіант 2: Ручне застосування через EOMT (для ізольованих середовищ)

Для серверів без доступу до інтернету команда Exchange рекомендує використовувати інструмент Exchange On-Premises Mitigation Tool (EOMT):

1. Завантажте актуальну версію EOMT з aka.ms/UnifiedEOMT
2. Для застосування на одному сервері виконайте в Exchange Management Shell з підвищеними привілеями:
   .\EOMT.ps1 -CVE "CVE-2026-42897"
3. Для застосування на всіх серверах (окрім Edge):
   Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

Відома косметична помилка

Microsoft підтвердила, що після застосування виправлення в полі Description може відображатися повідомлення «Mitigation invalid for this exchange version». Це косметичний дефект — якщо статус показує «Applied», захист працює коректно. Microsoft працює над усуненням цієї проблеми відображення.

Організаціям, які експлуатують локальні версії Exchange Server, слід застосувати тимчасові заходи захисту від CVE-2026-42897 впродовж найближчих годин, не чекаючи виходу постійного патча. Пріоритет — сервери з OWA, доступним з інтернету. Після застосування виправлення переконайтеся, що статус відображається як «Applied», і відстежуйте бюлетень MSRC, щоб отримати інформацію про вихід повноцінного оновлення безпеки.