Критическая уязвимость в Microsoft Exchange Server: открытие письма может привести к атаке

Обнаружена уязвимость нулевого дня в Exchange Server — она уже используется злоумышленниками

Корпорация Microsoft официально признала, что в локальных версиях Exchange Server активно эксплуатируется ранее неизвестная уязвимость CVE-2026-42897. Данная проблема нулевого дня позволяет киберпреступникам внедрять и выполнять вредоносный JavaScript-код прямо в браузере получателя, используя лишь правильно составленное электронное письмо. Уровень опасности оценивается в 8,1 балла по системе CVSS, причем под угрозой находятся Exchange Server версий 2016, 2019, а также Subscription Edition, тогда как пользователи облачного Exchange Online от данной атаки защищены. pepelac.news

Примечательно, что для запуска атаки злоумышленнику вовсе не требуется получать доступ к серверу или учетной записи жертвы. Достаточно отправить специально сконструированное сообщение, после прочтения которого через Outlook Web Access в браузере может начать исполняться произвольный код. В связи с подтвержденными случаями эксплуатации, американское Агентство по кибербезопасности и защите инфраструктуры (CISA) немедленно включило эту уязвимость в перечень известных активно эксплуатируемых уязвимостей и предписало федеральным ведомствам завершить устранение риска к 29 мая.

На данный момент официальное исправление проблемы отсутствует. Microsoft выпустила лишь временное экстренное средство защиты через службу Exchange Emergency Mitigation Service (EEMS), которое автоматически активирует защитные механизмы для серверов, если данная служба уже включена. Однако у такого решения выявлены побочные эффекты. Включение защиты приводит к тому, что в Outlook Web Access перестаёт работать функция печати календаря, встроенные изображения могут отображаться некорректно, а также практически полностью выходит из строя устаревший интерфейс OWA Light.

Разработчики отмечают, что полноценный патч уже готовится, однако сроки его выпуска пока не называются. Для версий Exchange Server 2016 и 2019 постоянное исправление будет распространяться исключительно среди пользователей программы расширенных обновлений безопасности (Extended Security Updates). Любопытно, что CVE-2026-42897 была выявлена спустя всего несколько дней после апрельского обновления Patch Tuesday, когда Microsoft устранила свыше 120 различных проблем безопасности, но данный zero-day не упоминался. Компания не разглашает информацию о том, кто может стоять за атаками и какие организации уже могли стать жертвами эксплуатации этой уязвимости.