A Microsoft lançou um patch para uma vulnerabilidade crítica no Exchange Server, identificada como CVE-2026-42897, que está sendo ativamente explorada por atacantes. Essa falha de spoofing, que afeta as versões Exchange Server 2016, 2019 e Subscription Edition, permite que invasores executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) direcionados a usuários do Outlook Web Access. O problema pode ser explorado remotamente, sem a necessidade de privilégios, através do envio de um e-mail especialmente elaborado. Caso o usuário abra o e-mail e certas condições de interação sejam atendidas, o código malicioso pode ser executado no contexto do navegador. A Microsoft recomenda que os administradores apliquem as atualizações de segurança de junho de 2026 o mais rápido possível e mantenham as mitig ações em vigor para proteção adicional. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também incluiu essa vulnerabilidade em sua lista de falhas exploradas e ordenou que agências governamentais realizassem os patches em suas instalações até 29 de maio. Nos últimos cinco anos, 20 vulnerabilidades do Exchange Server foram adicionadas à lista da CISA, com 14 delas sendo exploradas por grupos de ransomware.
Fonte: https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-exchange-server-zero-day-exploited-in-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
10/06/2026 • Risco: ALTO
VULNERABILIDADE
Microsoft corrige vulnerabilidade crítica no Exchange Server
RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-42897 no Exchange Server representa um risco significativo para organizações que utilizam essa tecnologia. A exploração ativa da falha pode levar a sérios compromissos de segurança, exigindo que os CISOs tomem medidas imediatas para aplicar patches e reforçar as defesas contra ataques de XSS.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos associados a incidentes de segurança, perda de dados e interrupção de serviços.
Operacional
Possibilidade de execução de código JavaScript arbitrário no navegador do usuário.
Setores vulneráveis
['Setor financeiro', 'Setor de saúde', 'Setor público']
📊 INDICADORES CHAVE
20 vulnerabilidades do Exchange Server adicionadas à lista da CISA nos últimos cinco anos.
Indicador
14 dessas vulnerabilidades foram exploradas por grupos de ransomware.
Contexto BR
Prazos estabelecidos para correção: até 29 de maio de 2026.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se as atualizações de segurança mais recentes do Exchange Server foram aplicadas.
2
Aplicar o patch de segurança de junho de 2026 imediatamente.
3
Monitorar logs de acesso e atividades suspeitas relacionadas ao Outlook Web Access.
🇧🇷 RELEVÂNCIA BRASIL
A vulnerabilidade pode permitir que atacantes comprometam sistemas críticos, afetando a continuidade dos negócios e a segurança de dados sensíveis.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
