Уязвимость CVE-2026-42897 в Microsoft Exchange: анализ
Positive Technologies опубликовала июльский дайджест трендовых уязвимостей. В центре выпуска — CVE-2026-42897 в Microsoft Exchange Server с оценкой CVSS 8.1. Дефект уже эксплуатируется в реальных атаках и добавлен CISA в каталог KEV.

Суть CVE-2026-42897
Уязвимость классифицирована как CWE-79 (XSS) в механизме генерации веб-страниц Exchange. Неавторизованный атакующий отправляет целевому пользователю специально сформированное письмо. При открытии в OWA и выполнении определённого сценария взаимодействия в контексте браузера пользователя исполняется произвольный JavaScript. Активная сессия становится инструментом атакующего: почтовый ящик переходит под контроль через тот же браузер, в котором пользователь только что работал легитимно.
Под ударом — Exchange Server 2016, 2019 и Subscription Edition RTM. Аутентификация не требуется, достаточно сетевой доступности OWA. В открытом доступе опубликован PoC.
Митигации и патчи
Исправление вышло 14 мая вне регулярного Patch Tuesday. Полноценные обновления безопасности для Exchange SE RTM, 2016 и 2019 опубликованы 9 июня — спустя месяц. В промежутке администраторам предлагалось развернуть компенсирующие меры через службу Exchange Emergency Mitigation (EM) либо скриптом Exchange on-premises Mitigation Tool (EOMT). Microsoft рекомендует оставить эти меры включёнными и после установки патча: они добавляют дополнительный слой защиты.
Учитывайте побочные эффекты митигаций. Зафиксированы ошибки печати календаря и сбои отображения изображений в OWA. Проверьте, не задевает ли работающий EM/EOMT бизнес-процессы, прежде чем отключать.
Exchange Server 2016 и 2019 формально выведены из поддержки. Официальные обновления безопасности с мая по октябрь 2026 года получат только клиенты с подпиской Period 2 Extended Security Update (ESU). Остальные инсталляции остаются уязвимыми без права на патч.
Что проверить на инфраструктуре
- Установлен ли патч под CVE-2026-42897 на каждом узле Exchange. Сверьте номера KB по бюллетеню Microsoft.
- Статус подписки ESU Period 2 для серверов 2016/2019. Без неё обновления не придут.
- Активен ли сервис EM, отрабатывает ли EOMT, нет ли регрессий в OWA после применения.
- Положение WAF и обратного прокси перед Exchange. XSS реализуется на стороне OWA — перехват вредоносной нагрузки на периметре снижает риск до применения патча.
- Признаки эксплуатации: нестандартные письма, обработка которых приводит к скрытым редиректам в OWA, новые правила в ящиках, необъяснимые изменения в ActiveSync-партнёрствах.
Параллельный контекст по теме: исследователи Lexfo обнаружили неправильно сконфигурированный публичный сервер, через который раскрыта инфраструктура трёх фишинговых кампаний на базе Evilginx, нацеленных на Microsoft 365. Точка пересечения с on-prem Exchange одна и та же — пользовательская сессия, доверенная браузером. Закладывайте это в модель угроз: компрометация OWA и AitM против M365 лежат в одном слое доверия.