mail-nation

Управляем почтой: от домена до конверсий

Новость

Уязвимость CVE-2026-42897 в Microsoft Exchange: анализ

Positive Technologies опубликовала июльский дайджест трендовых уязвимостей. В центре выпуска — CVE-2026-42897 в Microsoft Exchange Server с оценкой CVSS 8.1. Дефект уже эксплуатируется в реальных атаках и добавлен CISA в каталог KEV.

Уязвимость CVE-2026-42897 в Microsoft Exchange: анализ

Суть CVE-2026-42897

Уязвимость классифицирована как CWE-79 (XSS) в механизме генерации веб-страниц Exchange. Неавторизованный атакующий отправляет целевому пользователю специально сформированное письмо. При открытии в OWA и выполнении определённого сценария взаимодействия в контексте браузера пользователя исполняется произвольный JavaScript. Активная сессия становится инструментом атакующего: почтовый ящик переходит под контроль через тот же браузер, в котором пользователь только что работал легитимно.

Под ударом — Exchange Server 2016, 2019 и Subscription Edition RTM. Аутентификация не требуется, достаточно сетевой доступности OWA. В открытом доступе опубликован PoC.

Митигации и патчи

Исправление вышло 14 мая вне регулярного Patch Tuesday. Полноценные обновления безопасности для Exchange SE RTM, 2016 и 2019 опубликованы 9 июня — спустя месяц. В промежутке администраторам предлагалось развернуть компенсирующие меры через службу Exchange Emergency Mitigation (EM) либо скриптом Exchange on-premises Mitigation Tool (EOMT). Microsoft рекомендует оставить эти меры включёнными и после установки патча: они добавляют дополнительный слой защиты.

Учитывайте побочные эффекты митигаций. Зафиксированы ошибки печати календаря и сбои отображения изображений в OWA. Проверьте, не задевает ли работающий EM/EOMT бизнес-процессы, прежде чем отключать.

Exchange Server 2016 и 2019 формально выведены из поддержки. Официальные обновления безопасности с мая по октябрь 2026 года получат только клиенты с подпиской Period 2 Extended Security Update (ESU). Остальные инсталляции остаются уязвимыми без права на патч.

Что проверить на инфраструктуре

  • Установлен ли патч под CVE-2026-42897 на каждом узле Exchange. Сверьте номера KB по бюллетеню Microsoft.
  • Статус подписки ESU Period 2 для серверов 2016/2019. Без неё обновления не придут.
  • Активен ли сервис EM, отрабатывает ли EOMT, нет ли регрессий в OWA после применения.
  • Положение WAF и обратного прокси перед Exchange. XSS реализуется на стороне OWA — перехват вредоносной нагрузки на периметре снижает риск до применения патча.
  • Признаки эксплуатации: нестандартные письма, обработка которых приводит к скрытым редиректам в OWA, новые правила в ящиках, необъяснимые изменения в ActiveSync-партнёрствах.

Параллельный контекст по теме: исследователи Lexfo обнаружили неправильно сконфигурированный публичный сервер, через который раскрыта инфраструктура трёх фишинговых кампаний на базе Evilginx, нацеленных на Microsoft 365. Точка пересечения с on-prem Exchange одна и та же — пользовательская сессия, доверенная браузером. Закладывайте это в модель угроз: компрометация OWA и AitM против M365 лежат в одном слое доверия.