Vulnerabilidade crítica no Exchange Server permite execução de código
Na quinta-feira, a Microsoft divulgou mitigação para uma vulnerabilidade de alta severidade no Exchange Server, identificada como CVE-2026-42897. Essa falha de segurança, que afeta as versões mais recentes do Exchange Server 2016, 2019 e Subscription Edition, permite que atacantes executem código arbitrário por meio de um ataque de cross-site scripting (XSS) direcionado a usuários do Outlook na web. Embora ainda não existam patches disponíveis, a Microsoft recomenda a ativação do Exchange Emergency Mitigation Service (EEMS), que oferece mitigação automática para servidores on-premises. A vulnerabilidade pode ser explorada ao enviar um e-mail especialmente elaborado para um usuário, que, ao abrir o e-mail no Outlook Web Access, pode ter JavaScript malicioso executado em seu navegador. É importante ressaltar que a aplicação das medidas de mitigação pode causar problemas, como a não exibição correta de imagens e a funcionalidade de impressão do calendário. A Microsoft planeja lançar patches para as versões afetadas, mas estes estarão disponíveis apenas para clientes que participam do programa de suporte estendido. A situação é crítica, especialmente considerando que a CISA e a NSA já emitiram orientações para proteger servidores Exchange contra ataques.