A Microsoft alerta sobre vulnerabilidade de dia zero no Exchange que foi atacada em estado selvagem. O software atualizado ainda não está disponível. No entanto, a Microsoft oferece etapas que os administradores devem seguir o mais rápido possível.
Leia mais depois do anúncio
Na descrição da vulnerabilidade, a Microsoft explica que, por não filtrar a entrada ao gerar páginas da web, existe a vulnerabilidade de script entre sites. Isso permite que invasores não autenticados da rede realizem ataques de falsificação (CVE-2026-42897, CVSS 8.1risco”esse“). No entanto, a Microsoft classifica a gravidade como “crítico“Uma postagem no blog da equipe do Microsoft Exchange explica isso e as precauções com mais detalhes.
Cenário de ataque
A vulnerabilidade parece afetar especificamente o Outlook Web Access (OWA). A Microsoft afirma que os invasores podem enviar e-mails manipulados às vítimas. Quando um usuário abre um e-mail no OWA e sob certas condições de interação não especificadas, um JavaScript arbitrário é executado no navegador.
Exchange Server 2016, 2019 e Exchange Server Subscription Edition (SE) são afetados em qualquer nível de atualização. No entanto, a Microsoft não fornece atualizações de software. No entanto, a correção automatizada está disponível por meio do serviço Exchange Emergency Mitigation (EM). Se o serviço estiver ativo, a Microsoft implementou medidas preventivas. O serviço foi implantado desde setembro de 2021 e está habilitado por padrão. Em uma postagem no blog, a Microsoft também compartilhou uma variante manual.
A solução alternativa para conter a vulnerabilidade CVE-2026-42897 tem vários efeitos colaterais dos quais os administradores devem estar cientes. A impressão de calendários no OWA pode não funcionar mais. As imagens embutidas não são mais exibidas corretamente no painel do receptor. OWA Light não funciona mais – mas sim ferro velho e “abandonado”. A contramedida também aparece nos detalhes da mitigação não autorizada da versão atual do Exchange – puramente cosmética, garante a empresa de Redmond. Se “Aplicado” for exibido como status, ele foi efetivamente aplicado.
A equipe do Exchange está atualmente trabalhando em uma solução permanente e adequada. Ele aparecerá no futuro como uma atualização para Exchange SE RTM, Exchange 2016 CU23 e Exchange Server 2019 CU14 e CU15. No entanto, qualquer pessoa que use o Exchange 2016 ou 2019 deve assinar o segundo nível de atualizações de segurança estendidas (ESU). A Microsoft fornece mais informações sobre os Serviços de Mitigação de Emergência em seu próprio site.
Leia mais depois do anúncio
(dmk)
