){kind=link}
A Microsoft divulgou esta semana uma vulnerabilidade crítica no Exchange Server que já está sendo explorada por atacantes. A falha, identificada como CVE-2026-42897, afeta as versões on-premises em servidores de e-mail corporativo e permite a execução de código malicioso nos navegadores das vítimas.
A empresa anunciou a correção apenas dois dias após o Patch Tuesday de maio, que havia corrigido 137 vulnerabilidades – mas não incluía nenhum zero-day. A falha ficou de fora do pacote principal de atualizações.
smart_display
Nossos vídeos em destaque
Ataque começa com e-mail malicioso enviado para vítima
O ataque explora uma vulnerabilidade de cross-site scripting no Outlook Web Access, a interface web do Exchange. Basicamente, o invasor envia um e-mail especialmente preparado para a vítima.
Se o usuário abrir a mensagem pelo OWA e atender certas condições de interação, o código JavaScript malicioso é executado diretamente no navegador. A Microsoft classificou o problema como falha de spoofing e XSS.
A descrição técnica oficial menciona “neutralização inadequada de entrada durante a geração de páginas web”. Isso significa que o sistema não filtra corretamente dados potencialmente perigosos antes de exibi-los.
Versões on-premises do Exchange estão vulneráveis
A falha afeta o Exchange Server 2016, Exchange Server 2019 e Exchange Server Subscription Edition. Todas as atualizações dessas versões estão vulneráveis.
O Exchange Online, a versão em nuvem do serviço, não é afetada pela CVE-2026-42897. Apenas instalações locais nas empresas precisam aplicar as correções.
Microsoft oferece duas formas de mitigação temporária
A empresa disponibilizou o Exchange Emergency Mitigation Service como principal forma de proteção. O serviço está ativo por padrão desde setembro de 2021 e aplica a correção automaticamente nos servidores compatíveis.
Administradores podem verificar se a mitigação M2.1.x foi aplicada usando o script Exchange Health Checker. A ferramenta gera relatórios HTML com o status do sistema.
)
Para ambientes desconectados ou isolados da internet, a Microsoft liberou o Exchange on-premises Mitigation Tool. O script EOMT.ps1 pode ser executado manualmente via Exchange Management Shell em servidores individuais ou em toda a infraestrutura de uma vez.
Correção temporária causa problemas conhecidos em algumas funcionalidades
A mitigação desativa temporariamente alguns recursos do OWA. A impressão de calendários pode parar de funcionar após a aplicação da correção. Imagens inline também podem não aparecer corretamente no painel de leitura dos destinatários. Como alternativa, as imagens precisam ser enviadas como anexos.
O OWA Light, versão simplificada da interface que já está descontinuada há anos, deixa de funcionar adequadamente. A Microsoft alerta que esse modo não é recomendado para uso em produção.
)
Patch de segurança permanente será lançado apenas para alguns clientes
A Microsoft planeja lançar uma atualização de segurança definitiva para as versões afetadas. O patch será disponibilizado para Exchange SE RTM, Exchange 2016 CU23 e Exchange 2019 CU14 e CU15.
As atualizações para Exchange 2016 e 2019 serão liberadas apenas para clientes inscritos no programa Extended Security Update Período 2. O programa ESU Período 1 terminou em abril de 2026 e não receberá este patch. A vulnerabilidade foi reportada por um pesquisador anônimo. A Microsoft não divulgou detalhes sobre os ataques que exploraram a falha nem sobre os grupos responsáveis.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.