Microsoft предупредила администраторов локальных Exchange Server о новой уязвимости CVE-2026-42897. Проблема затрагивает Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition. Постоянного патча пока нет: компания выпустила временную защиту через Exchange Emergency Mitigation Service, или EEMS, и просит клиентов включить этот механизм.
Уязвимость раскрыли 14 мая 2026 года — через двое суток после майского Patch Tuesday, где Microsoft закрыла 137 проблем, но не указала ни одного zero-day.
CVE-2026-42897 — это уязвимость класса cross-site scripting, или XSS, в Microsoft Exchange Server. Она связана с некорректной обработкой данных при генерации веб-страницы. В практическом виде атака нацелена на Outlook Web Access / Outlook on the web, то есть веб-интерфейс Exchange.
Сценарий выглядит так: атакующий отправляет специально подготовленное письмо пользователю. Если жертва открывает его в OWA и выполняются нужные условия взаимодействия, в браузере может выполниться JavaScript-код атакующего. Это не описывается Microsoft как прямой удалённый запуск кода на самом сервере Exchange, но для корпоративной почты такой XSS всё равно опасен: браузер пользователя уже находится в доверенном контексте почтового веб-интерфейса.
Некорректная нейтрализация ввода при генерации веб-страниц позволяет неавторизованному атакующему выполнить spoofing по сети.
Exchange Server много лет остаётся любимой целью атакующих. Причина простая: почтовый сервер часто доступен из интернета, связан с Active Directory, хранит деловую переписку, вложения, адресные книги и служебные уведомления. Удачная атака на Exchange нередко даёт не один почтовый ящик, а удобную точку для дальнейшего движения внутри компании.
CVE-2026-42897 не похожа на ProxyShell или ProxyNotShell по масштабу описанного воздействия: сейчас публично речь идёт о XSS и spoofing через OWA, а не о серверной RCE-цепочке. Но «менее громкий» класс бага не делает его безопасным. Если пользователь работает с почтой через веб-интерфейс, вредоносное письмо может стать входом для кражи сессии, подмены интерфейса, фишинга внутри доверенного домена и сбора данных из почтового контекста.
Microsoft подтвердила, что уязвимость уже используется в реальных атаках, но не раскрыла подробности: нет данных о количестве жертв, географии, группах, целях и индикаторах компрометации. SecurityWeek также отмечает, что про уязвимость сообщил анонимный исследователь.
Под ударом — локальные установки Exchange Server:
Exchange Server 2016;
Exchange Server 2019;
Exchange Server Subscription Edition.
Exchange Online в публичных публикациях не фигурирует среди затронутых продуктов. Основной риск сейчас — у организаций, которые продолжают держать on-prem Exchange с доступным OWA, особенно если серверы открыты в интернет и не получают emergency mitigations.
На момент раскрытия Microsoft не выпустила постоянное исправление. Компания предложила временные меры защиты и отдельно рекомендовала клиентам включить Exchange Emergency Mitigation Service. Это механизм, который Microsoft добавила после крупных атак на Exchange: он может автоматически применять временные правила защиты до выхода полноценного обновления.
Первоначально SecurityWeek писал, что CVE-2026-42897 ещё не появилась в каталоге Known Exploited Vulnerabilities. Позже агрегаторы CVE и данные по KEV зафиксировали добавление уязвимости CISA 15 мая 2026 года. Для федеральных гражданских ведомств США срок устранения указан до 29 мая 2026 года.
Что должны сделать администраторы
-
Найти все локальные Exchange Server, включая старые гибридные узлы, забытые OWA-публикации, тестовые серверы, аварийные площадки и машины, которые «вроде уже не используются». Exchange часто живёт дольше, чем думает инвентаризация.
-
Проверить EEMS. Нужно убедиться, что Exchange Emergency Mitigation Service включён, может получать актуальные mitigation-данные и применил защиту для CVE-2026-42897. Отдельно стоит проверить именно mitigation M2, если она отображается в выводе инструментов администрирования.
-
Снизить экспозицию OWA. Если веб-доступ к почте не нужен всему интернету, его стоит ограничить VPN, доверенными IP, conditional access или обратным прокси с дополнительной проверкой. Для организаций с высоким риском лучше временно закрыть внешний OWA до подтверждения mitigation или патча.
-
Смотреть логи. Полезны журналы IIS, события OWA, входы пользователей, необычные User-Agent, запросы к OWA с подозрительными параметрами, массовые обращения к веб-интерфейсу, жалобы пользователей на странное поведение писем и всплески фишинга внутри организации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
