Microsoft раскрыла новую уязвимость Exchange Server с оценкой CVSS 8.1, и это не тот случай, когда можно спокойно переложить задачу в следующий спринт: компания прямо указала, что баг уже эксплуатируется в реальных атаках. Для российских команд, которые до сих пор держат почту на собственных серверах, новость неприятная, но предельно прикладная: риск связан с открытием специально подготовленного письма в Outlook Web Access, а временную защиту нужно включать уже сейчас.
Речь идет о CVE-2026-42897 — дефекте в локальных версиях Microsoft Exchange Server, который Microsoft описывает как spoofing-уязвимость, возникающую из-за cross-site scripting. Как пишет The Hacker News, атаку можно построить через отправку специально сформированного письма: если пользователь откроет его в Outlook Web Access и выполнятся определенные условия взаимодействия, злоумышленник сможет запустить произвольный JavaScript-код в контексте браузера жертвы. Уязвимость обнаружил и передал Microsoft анонимный исследователь.
Под проблему подпадают все уровни обновлений Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition. Exchange Online, по данным Microsoft, этой уязвимостью не затронут. Это важная граница: если компания уже уехала в облако Microsoft 365, срочных действий по этому конкретному кейсу не требуется. А вот для on-prem-инсталляций ситуация ровно обратная: уязвимость Exchange Server уже помечена Microsoft статусом Exploitation Detected, то есть речь не о теоретической атаке из лаборатории, а о баге, который кто-то уже применяет на практике.
Постоянного исправления на момент раскрытия еще нет, поэтому Microsoft делает ставку на временную защиту через Exchange Emergency Mitigation Service. Этот сервис применяет смягчающую меру автоматически через конфигурацию URL rewrite и, что особенно приятно для администраторов, по умолчанию включен. Если он отключен, Microsoft рекомендует включить соответствующую службу Windows. Для изолированных сред, где такой вариант невозможен из-за air-gap-ограничений, компания предлагает использовать Exchange on-premises Mitigation Tool и накатывать защиту на каждый сервер отдельно либо централизованно через Exchange Management Shell. Есть и небольшой бюрократический бонус из мира корпоративного софта: Microsoft признала известную проблему, при которой mitigation может показывать сообщение о невалидности для версии Exchange. По словам команды Exchange, если статус отображается как Applied, защита считается примененной, а странная формулировка в описании носит косметический характер.
Почему история выглядит серьезнее обычного патч-ноута
В новостной ленте про уязвимости давно действует простое правило: если Microsoft одновременно пишет про active exploitation и выпускает временную mitigation-схему до полноценного патча, значит инцидент оценивается как достаточно неприятный. В случае с CVE-2026-42897 опасность не сводится к сухому термину XSS. Для бизнеса это означает возможность подделки действий или интерфейса в браузере пользователя, а для атакующих — шанс зайти через почту, которая в большинстве компаний по-прежнему остается удобной входной дверью. Особенно если речь идет об Outlook Web Access, доступном сотрудникам из браузера и часто используемом вне периметра офиса.
Пока Microsoft не раскрывает ни масштаб кампании, ни конкретных операторов атак, ни список целей. Неизвестно и то, насколько успешными уже были эти попытки. Но есть косвенный индикатор срочности: 15 мая 2026 года американское агентство CISA добавило CVE-2026-42897 в каталог Known Exploited Vulnerabilities. Для федеральных гражданских ведомств США это не просто строчка в реестре, а обязательство применить меры защиты до 29 мая 2026 года. Когда уязвимость попадает в KEV так быстро, рынок обычно читает это без дополнительного перевода: откладывать работы не стоит.
Для российских ИТ-команд здесь важен и организационный контекст. On-prem Exchange остается в инфраструктуре компаний, которым не подходят облачные сценарии по требованиям безопасности, регуляторики или внутренней архитектуры. И именно у таких организаций процесс обновления нередко сложнее: есть изолированные контуры, длинные окна согласования, зависимость от смежных систем и нежелание трогать почтовую платформу без крайней необходимости. Уязвимость Exchange Server в таком ландшафте особенно неудобна: она не требует от злоумышленника экзотической техники, а защитная реакция зависит не только от админов, но и от того, насколько быстро компания готова принять временную меру до выхода постоянного патча.
Что это значит для администраторов и бизнеса
Практический вывод достаточно прямой. Если в компании используется Exchange Server 2016, 2019 или Subscription Edition в локальном контуре, нужно проверить, включен ли Exchange Emergency Mitigation Service, и убедиться, что защита действительно применилась. Для изолированных сегментов — подготовить разворачивание EOMT на каждом затронутом сервере. Параллельно стоит предупредить команды эксплуатации и ИБ, что сценарий атаки завязан на письмо и работу через Outlook Web Access. Это значит, что мониторинг аномалий в OWA, журналов веб-доступа и подозрительных пользовательских действий в браузерной сессии становится не факультативной задачей, а вполне предметной.
Разработчикам и продуктовым командам эта история тоже полезна как напоминание: даже в зрелых корпоративных системах XSS по-прежнему не музейный экспонат, а рабочий инструмент для атак. Почтовый сервер здесь выступает не только как канал доставки, но и как веб-приложение со своей поверхностью атаки. А бизнесу приходится снова вспоминать старую неприятную истину: владение инфраструктурой дает контроль, но вместе с ним и ночные дежурства, когда вендор еще только готовит постоянный фикс.
Следующий важный маркер — скорость, с которой Microsoft выпустит полноценное обновление, и появятся ли детали о том, кто именно использовал CVE-2026-42897 и против каких организаций. До этого момента локальный Exchange снова оказывается в знакомой роли: система, которую нельзя просто оставить работать, потому что почта в 2026 году все еще остается одним из самых коротких маршрутов к чужому браузеру и внутренней сети.
The post Microsoft закрывает дыру в Exchange Server, уже используемую в атаках appeared first on iTech News.