Notebookcheck Logo

Microsoft Exchange Server zero-day wykorzystany poprzez spreparowaną wiadomość e-mail

Luka CVE-2026-42897 dotyczy interfejsu Outlook Web Access na lokalnym serwerze Exchange.
ⓘ rawpixel.com
Luka CVE-2026-42897 dotyczy interfejsu Outlook Web Access na lokalnym serwerze Exchange.
Microsoft potwierdza aktywne wykorzystywanie dnia zerowego CVE-2026-42897 w Exchange Server za pośrednictwem spreparowanych wiadomości e-mail bez stałej poprawki dostępnej dla wdrożeń lokalnych.
Security Software Windows Microsoft Desktop Laptop / Notebook

Microsoft potwierdził aktywne wykorzystanie CVE-2026-42897, dnia zerowego w lokalnym serwerze Exchange, który pozwala atakującym na wykonanie dowolnego skryptu JavaScript w przeglądarce ofiary poprzez wysłanie spreparowanej wiadomości e-mail. Nie istnieje żadna stała poprawka. Microsoft wdrożył awaryjne środki zaradcze 14 maja, a CISA dodała tę lukę do swojego katalogu Known Exploited Vulnerabilities następnego dnia, wymagając od agencji federalnych usunięcia jej do 29 maja. Problem nie dotyczy Exchange Online.

Co robi CVE-2026-42897

CVE-2026-42897 to luka typu cross-site scripting w komponencie Outlook Web Access lokalnego serwera Microsoft Exchange, oceniona w CVSS na 8.1. Atakujący wysyła specjalnie spreparowaną wiadomość e-mail do celu. Gdy odbiorca otworzy go w OWA w określonych warunkach interakcji, w sesji przeglądarki wykonywany jest dowolny skrypt JavaScript.

Microsoft klasyfikuje lukę jako błąd spoofingu, który wynika z niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej. Ścieżka ataku nie wymaga uwierzytelnienia ani dostępu do serwera. Rozpoczyna się od skrzynki odbiorczej.

Kogo dotyczy luka

Luka dotyczy lokalnych serwerów Exchange Server 2016, Exchange Server 2019 i Exchange Server Subscription Edition na dowolnym poziomie aktualizacji. Exchange Online nie jest podatny na atak.

Exchange on-premises znajduje się w centrum korporacyjnej poczty elektronicznej dla rządów, instytucji finansowych i przedsiębiorstw, które nie przeniosły się do chmury. Katalog CISA Known Exploited Vulnerabilities zawiera już prawie dwa tuziny luk w serwerze Exchange, a grupy ransomware wykorzystały kilka z nich do włamania się do celów. CVE-2026-42897 pojawił się zaledwie dwa dni po majowym Patch Tuesday, który załatał 120 luk, ale nie ujawnił żadnych zero-days w swoich informacjach o wydaniu.

Łagodzenie błędów

Microsoft wdrożył tymczasową poprawkę za pośrednictwem usługi Exchange Emergency Mitigation Serviceusługa EEMS stosuje środki łagodzące automatycznie poprzez konfigurację przepisywania adresów URL na serwerach skrzynek pocztowych Exchange, na których usługa jest domyślnie włączona. Administratorzy mogą zweryfikować status za pomocą skryptu Exchange Health Checker pod adresem aka.ms/ExchangeHealthChecker.

W przypadku środowisk z blokadą powietrzną lub odłączonych, w których EEMS nie może dotrzeć do serwerów Microsoftu, administratorzy muszą ręcznie pobrać najnowsze narzędzie Exchange On-premises Mitigation Tool i uruchomić je za pomocą podwyższonej powłoki Exchange Management Shell. Polecenie jest skierowane do pojedynczego serwera lub może być uruchomione jednocześnie na całej flocie Exchange.

Proszę pamiętać o jednej kosmetycznej kwestii. Niektóre serwery będą wyświetlać status łagodzenia jako "Łagodzenie nieważne dla tej wersji Exchange" w polu opisu. Microsoft potwierdza, że poprawka została zastosowana poprawnie w tych przypadkach, jeśli kolumna statusu brzmi "Zastosowano". Wyświetlany tekst jest znanym błędem kosmetycznym, który jest obecnie badany.

Skutki uboczne zastosowania poprawki

Zastosowanie poprawki ma konsekwencje funkcjonalne. Funkcja OWA Print Calendar przestaje działać po zastosowaniu poprawki. Obrazy wbudowane nie są już poprawnie wyświetlane w okienkach odczytu odbiorców w Outlook Web Access.

OWA Light, starszy interfejs dostępny za pośrednictwem adresu URL kończącego się na /?layout=light, również przestaje działać po zastosowaniu poprawki. Microsoft wycofał ten interfejs lata temu i nie uważa go za gotowy do produkcji, ale organizacje, które nadal go używają, będą musiały przekierowywać użytkowników przez standardowy adres URL OWA.

Nie ma jeszcze stałej poprawki

Microsoft opracowuje stałą poprawkę i nie potwierdził harmonogramu jej wydania. Gdy będzie dostępna, Exchange Server Subscription Edition otrzyma ją za pośrednictwem standardowego kanału aktualizacji. Exchange Server 2016 i 2019 otrzymają stałą poprawkę tylko za pośrednictwem programu rozszerzonej aktualizacji zabezpieczeń Microsoft Period 2.

Organizacje korzystające ze starszej wersji bez rejestracji ESU pozostaną narażone na atak, dopóki nie zastosują ręcznie awaryjnego środka łagodzącego. CISA dodała CVE-2026-42897 do katalogu Known Exploited Vulnerabilities w dniu 15 maja i wymaga od federalnych cywilnych agencji wykonawczych podjęcia działań naprawczych do 29 maja. Microsoft nie zidentyfikował podmiotów stojących za aktywnymi atakami ani nie ujawnił, które organizacje były celem ataków.

Czas pojawienia się CVE-2026-42897 znajduje się na drugim końcu cyklu życia podatności od proaktywnego wykrywania. Model MDASH AI firmy Microsoft zidentyfikował ostatnio 16 krytycznych luk w systemie Windows, zanim atakujący mogli do nich dotrzeć, podejście do wykrywania, które CVE-2026-42897 całkowicie ominęło.

Google LogoAdd as a preferred source on Google
Mail Logo

Powiązane artykuły

> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 05 > Microsoft Exchange Server zero-day wykorzystany poprzez spreparowaną wiadomość e-mail
Darryl Linington, 2026-05-17 (Update: 2026-05-17)