В MS Exchange найдена уязвимость «нулевого дня»

Компания Microsoft опубликовала рекомендации по устранению уязвимости Exchange Server высокой степени опасности, которая использовалась в атаках, позволяющих злоумышленникам выполнять произвольный код с помощью межсайтового скриптинга (XSS) при нацеливании на пользователей Outlook в веб-версии.

Microsoft описывает эту уязвимость (CVE-2026-42897) как уязвимость подделки, затрагивающую актуальные версии программного обеспечения Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition (SE).

Хотя исправления для окончательного устранения уязвимости пока недоступны, компания добавила, что служба Exchange Emergency Mitigation Service (EEMS) обеспечит автоматическое смягчение последствий для локальных серверов Exchange Server 2016, 2019 и SE.

«Злоумышленник может воспользоваться этой уязвимостью, отправив пользователю специально сформированное электронное письмо. Если пользователь откроет это письмо в Outlook web Access и будут соблюдены определенные условия взаимодействия, в контексте браузера может быть выполнен произвольный код JavaScript» — сообщила команда Exchange

Администраторы, имеющие серверы в изолированных средах, также могут устранить эту уязвимость, загрузив последнюю версию инструмента Exchange on-premises Mitigation Tool (EOMT) и применив меры по устранению уязвимости, запустив скрипт через Exchange Management Shell (EMS) с повышенными правами с помощью одной из следующих команд:

• Один сервер: .\EOMT.ps1 -CVE "CVE-2026-42897"
• Все серверы: Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

Однако важно отметить, что применение мер по устранению уязвимости на уязвимых серверах приведет к следующим проблемам:

• Функция печати календаря OWA может не работать. В качестве обходного пути Microsoft предложила скопировать данные, сделать снимок экрана календаря, который вы хотите распечатать, или использовать настольный клиент Outlook.
• Встроенные изображения могут отображаться некорректно в панели чтения OWA у получателей. В качестве обходного решения пользователям рекомендуется отправлять изображения в виде вложений к электронным письмам или использовать настольный клиент Outlook.
• OWA light (URL-адрес OWA, заканчивающийся на /?layout=light) работает некорректно (эта функция была признана устаревшей несколько лет назад и не предназначена для регулярного использования в производственной среде).

Microsoft планирует выпустить исправления для Exchange SE RTM, Exchange 2016 CU23, а также Exchange Server 2019 CU14 и CU15, но заявляет, что обновления для Exchange 2016 и 2019 будут доступны только клиентам, участвующим в программе ESU для Exchange Server периода 2.

В октябре, через несколько недель после того, как поддержка Exchange 2016 и 2019 была прекращена, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Агентство национальной безопасности (NSA) выпустили рекомендации, чтобы помочь ИТ-администраторам укрепить серверы Microsoft Exchange против атак.

За последние 5 лет CISA добавило 19 уязвимостей Microsoft Exchange Server в свой список активно эксплуатируемых уязвимостей, 14 из которых также использовались в атаках с применением программ-вымогателей.

Источник