Notebookcheck Logo

O dia zero do Microsoft Exchange Server foi explorado por meio de um e-mail criado

A falha CVE-2026-42897 tem como alvo a interface do Outlook Web Access no Exchange Server local.
ⓘ rawpixel.com
A falha CVE-2026-42897 tem como alvo a interface do Outlook Web Access no Exchange Server local.
A Microsoft confirma a exploração ativa do dia zero do Exchange Server, CVE-2026-42897, por meio de e-mail criado, sem correção permanente disponível para implantações locais.
Security Software Windows Microsoft Desktop Laptop / Notebook

A Microsoft confirmou a exploração ativa do CVE-2026-42897, um dia zero no Exchange Server local que permite que os invasores executem JavaScript arbitrário no navegador da vítima enviando um e-mail criado. Não existe uma correção permanente. A Microsoft implantou uma mitigação de emergência em 14 de maio, e a CISA adicionou a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas no dia seguinte, exigindo que os órgãos federais façam a correção até 29 de maio. O Exchange Online não foi afetado.

O que o CVE-2026-42897 faz

CVE-2026-42897 é uma falha de script entre sites no componente Outlook Web Access do Microsoft Exchange Server local, classificada como CVSS 8.1. Um invasor envia um e-mail especialmente criado para um alvo. Quando o destinatário o abre no OWA sob determinadas condições de interação, um JavaScript arbitrário é executado dentro da sessão do navegador.

A Microsoft classifica a vulnerabilidade como um problema de spoofing, que se baseia na neutralização inadequada de entradas durante a geração de páginas da Web. O caminho do ataque não requer autenticação ou acesso ao servidor. Ele começa com uma caixa de entrada.

Quem é afetado

A falha atinge o Exchange Server 2016, o Exchange Server 2019 e o Exchange Server Subscription Edition locais em qualquer nível de atualização. O Exchange Online não é vulnerável.

O Exchange local está no centro do e-mail corporativo para governos, instituições financeiras e empresas que não migraram para a nuvem. O catálogo de Vulnerabilidades Exploradas Conhecidas da CISA já lista quase duas dúzias de falhas do Exchange Server, e grupos de ransomware abusaram de várias delas para violar alvos. A CVE-2026-42897 chegou apenas dois dias após a Patch Tuesday de maio, que corrigiu 120 vulnerabilidades, mas não revelou nenhum dia zero em suas notas de lançamento.

Mitigando a falha

A Microsoft implantou uma correção temporária por meio do serviço de mitigação de emergência do Exchange https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.htmlo EEMS aplica a atenuação automaticamente por meio da configuração de reescrita de URL em servidores Exchange Mailbox nos quais o serviço está ativado por padrão. Os administradores podem verificar o status usando o script Exchange Health Checker em aka.ms/ExchangeHealthChecker.

Para ambientes com air-gap ou desconectados em que o EEMS não pode alcançar os servidores da Microsoft, os administradores devem fazer o download manual da Ferramenta de Mitigação do Exchange On-premises mais recente e executá-la por meio de um Shell de Gerenciamento do Exchange com privilégios elevados. O comando tem como alvo um único servidor ou pode ser executado em toda a frota do Exchange de uma só vez.

Há um problema cosmético que deve ser observado. Alguns servidores mostrarão o status da mitigação como "Mitigação inválida para esta versão do Exchange" no campo de descrição. A Microsoft confirma que a correção foi aplicada corretamente nesses casos se a coluna de status mostrar "Applied". O texto exibido é um bug cosmético conhecido que está sendo investigado.

Efeitos colaterais da atenuação

A aplicação da correção tem consequências funcionais. O recurso Print Calendar do OWA deixa de funcionar após a aplicação da atenuação. As imagens embutidas não são mais exibidas corretamente nos painéis de leitura dos destinatários no Outlook Web Access.

O OWA Light, a interface legada acessada por meio de uma URL que termina em /?layout=light, também para de funcionar após a aplicação da atenuação. A Microsoft descontinuou a interface anos atrás e não a considera pronta para produção, mas as organizações que ainda a utilizam precisarão encaminhar os usuários por meio da URL padrão do OWA.

Ainda não há correção permanente

A Microsoft está desenvolvendo uma correção permanente e não confirmou um cronograma de lançamento. Quando disponível, o Exchange Server Subscription Edition o receberá por meio do canal de atualização padrão. O Exchange Server 2016 e 2019 só receberá a correção permanente por meio do programa Period 2 Extended Security Update da Microsoft.

As organizações que executam qualquer uma das versões mais antigas sem registro na ESU permanecerão expostas até que apliquem a mitigação de emergência manualmente. A CISA adicionou o CVE-2026-42897 ao catálogo de Vulnerabilidades Exploradas Conhecidas em 15 de maio e exige que os órgãos do Poder Executivo Civil Federal façam a correção até 29 de maio. A Microsoft não identificou os agentes de ameaça por trás dos ataques ativos nem divulgou quais organizações foram visadas pelos atacantes.

O momento do CVE-2026-42897 está no outro extremo do ciclo de vida da vulnerabilidade em relação à descoberta proativa. O modelo de IA MDASH da Microsoft da Microsoft identificou recentemente 16 falhas críticas do Windows antes que os atacantes pudessem chegar a elas, uma abordagem de detecção que o CVE-2026-42897 contornou completamente.

Google LogoAdd as a preferred source on Google
Mail Logo

Artigos Relacionados

> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 05 > O dia zero do Microsoft Exchange Server foi explorado por meio de um e-mail criado
Darryl Linington, 2026-05-17 (Update: 2026-05-17)