Exchange Server

A Microsoft lançou um patch para uma vulnerabilidade crítica no Exchange Server, identificada como CVE-2026-42897, que está sendo ativamente explorada por atacantes. Essa falha de spoofing, que afeta as versões Exchange Server 2016, 2019 e Subscription Edition, permite que invasores executem código JavaScript arbitrário em ataques de cross-site scripting (XSS) direcionados a usuários do Outlook Web Access. O problema pode ser explorado remotamente, sem a necessidade de privilégios, através do envio de um e-mail especialmente elaborado. Caso o usuário abra o e-mail e certas condições de interação sejam atendidas, o código malicioso pode ser executado no contexto do navegador. A Microsoft recomenda que os administradores apliquem as atualizações de segurança de junho de 2026 o mais rápido possível e mantenham as mitig ações em vigor para proteção adicional. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também incluiu essa vulnerabilidade em sua lista de falhas exploradas e ordenou que agências governamentais realizassem os patches em suas instalações até 29 de maio. Nos últimos cinco anos, 20 vulnerabilidades do Exchange Server foram adicionadas à lista da CISA, com 14 delas sendo exploradas por grupos de ransomware.

Na quinta-feira, a Microsoft divulgou mitigação para uma vulnerabilidade de alta severidade no Exchange Server, identificada como CVE-2026-42897. Essa falha de segurança, que afeta as versões mais recentes do Exchange Server 2016, 2019 e Subscription Edition, permite que atacantes executem código arbitrário por meio de um ataque de cross-site scripting (XSS) direcionado a usuários do Outlook na web. Embora ainda não existam patches disponíveis, a Microsoft recomenda a ativação do Exchange Emergency Mitigation Service (EEMS), que oferece mitigação automática para servidores on-premises. A vulnerabilidade pode ser explorada ao enviar um e-mail especialmente elaborado para um usuário, que, ao abrir o e-mail no Outlook Web Access, pode ter JavaScript malicioso executado em seu navegador. É importante ressaltar que a aplicação das medidas de mitigação pode causar problemas, como a não exibição correta de imagens e a funcionalidade de impressão do calendário. A Microsoft planeja lançar patches para as versões afetadas, mas estes estarão disponíveis apenas para clientes que participam do programa de suporte estendido. A situação é crítica, especialmente considerando que a CISA e a NSA já emitiram orientações para proteger servidores Exchange contra ataques.