O vulnerabilitate critică a Microsoft Exchange Server este exploatată în mod activ

Microsoft a emis o alertă de securitate urgentă cu privire la o vulnerabilitate recent descoperită în Exchange Server, care este în prezent exploatată în mediul activ.

Clasificată sub codul CVE-2026-42897, această vulnerabilitate critică de tip spoofing are un scor CvSS de 8.1/10 cu un grad de severitate high, și afectează direct infrastructura de e-mail locală.

Persoanele rău intenționate exploatează în mod activ această vulnerabilitate de rețea pentru a compromite sistemele organizaționale înainte ca un patch permanent să fie finalizat.

Specialiștii de securitate cibernetică au confirmat că vulnerabilitatea vizează în mod specific serviciul Microsoft Exchange Outlook Web Access.

Deoarece vulnerabilitatea este deja exploatată în campanii active, administratorii de sistem sunt îndemnați să aplice imediat măsuri de prevenire temporare.

Riscul de securitate vizează exclusiv implementările locale, ceea ce înseamnă că instituțiile care utilizează Microsoft Exchange Online în cloud nu sunt deloc afectate de acest vector de atac.

Baza tehnică a acestui atac cibernetic se bazează pe neutralizarea necorespunzătoare a datelor de intrare în timpul generării paginilor web, ceea ce este de obicei clasificat drept o vulnerabilitate de tip cross-site scripting.

Un atacator neautorizat poate exploata această vulnerabilitate trimițând un e-mail malițios direct către un utilizator vizat.

Dacă destinatarul accesează mesajul rău intenționat în Outlook Web Access și îndeplinește anumite condiții de interacțiune, payload-ul permite executarea fără probleme a unui cod JavaScript arbitrar în browserul utilizatorului.

Vulnerabilitatea afectează mai multe versiuni importante ale platformei, în special Exchange Server 2016, Exchange Server 2019 și Exchange Server Subscription Edition, la toate nivelurile de actualizare.

Complexitatea redusă a atacului, combinată cu un model de executare bazat pe rețea, face din aceasta un instrument extrem de eficient pentru atacatorii care încearcă să preia controlul asupra sesiunilor utilizatorilor sau să manipuleze datele browserului local.

În timp ce o actualizare de securitate permanentă se află în prezent în curs de dezvoltare și testare, Microsoft a implementat o măsură de protecție temporară prin intermediul serviciului automatizat Exchange Emergency Mitigation Service.

Pentru instituțiile care au acest serviciu implicit activat, măsura de atenuare specifică identificată ca M2.1.x este aplicată automat pentru a proteja mediile vulnerabile.

Administratorii care operează în rețele deconectate sau air-gapped trebuie să descarce și să execute manual cel mai recent script al instrumentului de atenuare Exchange on-premises prin intermediul unui shell de administrare cu drepturi extinse pentru a obține această măsură de protecție necesară.

Documentația Microsoft indică faptul că funcționalitatea Print Calendar din Outlook Web Access ar putea înceta să funcționeze corespunzător, obligând utilizatorii să folosească clientul desktop sau să realizeze capturi de ecran manual.

Inginerii software de la Microsoft lucrează intens la finalizarea unei soluții oficiale permanente care să îndeplinească standardele lor de asigurare a calității.

Odată lansată, actualizarea de securitate va fi pusă la dispoziția tuturor utilizatorilor pentru Exchange Server Subscription Edition.

Cu toate acestea, actualizările permanente pentru versiunile mai vechi, precum Exchange 2016 și 2019, vor fi furnizate numai utilizatorilor care sunt înscriși în mod activ în programul Period 2 Exchange Server Extended Security Update.

Sursă: https://cybersecuritynews.com/microsoft-exchange-server-vulnerability-exploited/