A Microsoft alertou sobre ataques em andamento que exploram uma nova vulnerabilidade zero-day no Exchange Server, identificada como CVE-2026-42897. A falha afeta as versões Exchange Server 2016, 2019 e Subscription Edition (SE). Diante da ausência de um patch completo, a empresa recomenda o uso de medidas de proteção temporárias e insta os administradores a ativar o Exchange Emergency Mitigation Service (EEMS) com urgência.
A vulnerabilidade, conforme descrito pela Microsoft, está relacionada a XSS (Cross-Site Scripting) e spoofing no Outlook Web Access (OWA). Um atacante pode explorar a falha enviando um e-mail especialmente elaborado para a vítima. Se o usuário abrir o e-mail através da interface web do Outlook e certas condições de interação forem atendidas, código JavaScript arbitrário pode ser executado no contexto do navegador.
A Microsoft enfatiza que a vulnerabilidade já está sendo ativamente explorada em ataques reais, embora detalhes técnicos sobre esses incidentes ainda não tenham sido divulgados. A autoria dos ataques também é desconhecida. A empresa informa que a vulnerabilidade foi descoberta inicialmente por um pesquisador anônimo. Como medida de proteção temporária, a Microsoft recomenda o uso do EEMS, um serviço de mitigação de emergência para servidores Exchange locais. Essa funcionalidade foi introduzida em 2021, após ataques em massa que exploraram as vulnerabilidades ProxyLogon e ProxyShell, nos quais grupos de hackers invadiram servidores Exchange acessíveis pela internet antes do lançamento de patches. O serviço aplica automaticamente medidas de proteção temporárias para vulnerabilidades críticas e opera como um serviço do Windows nos servidores Exchange Mailbox.
A Microsoft adverte que as correções temporárias podem causar efeitos colaterais. Por exemplo, a função "Imprimir Calendário" no OWA pode parar de funcionar corretamente, e as imagens embutidas em e-mails podem não ser exibidas corretamente. O modo OWA Light, considerado obsoleto, também pode ser afetado. Para ambientes isolados, a empresa recomenda o uso da Exchange On-premises Mitigation Tool (EOMT) e a aplicação manual da proteção através do Exchange Management Shell. Patches completos para Exchange SE RTM, Exchange 2016 CU23 e Exchange 2019 CU14/CU15 serão lançados posteriormente. No entanto, as atualizações para Exchange 2016 e 2019 estarão disponíveis apenas para organizações inscritas no programa Extended Security Updates (ESU).
