A Microsoft alertou usuários do Exchange Server sobre uma nova vulnerabilidade zero-day que já está sendo explorada em ataques ativos e recomendou a adoção imediata das medidas de mitigação disponíveis.
A falha, identificada como CVE-2026-42897, afeta o Microsoft Exchange Server Subscription Edition, Exchange Server 2016 e Exchange Server 2019. Segundo a empresa, trata-se de uma vulnerabilidade de spoofing associada a Cross-Site Scripting (XSS) no Outlook Web Access (OWA).
A divulgação ocorreu apenas dois dias após o Patch Tuesday de maio, no qual a Microsoft corrigiu 137 vulnerabilidades sem incluir falhas zero-day. O novo problema foi revelado oficialmente em 14 de maio.
De acordo com o advisory da Microsoft, a vulnerabilidade ocorre devido à neutralização inadequada de entradas durante a geração de páginas web, permitindo que um invasor não autenticado execute ataques de spoofing remotamente.
O cenário de exploração envolve o envio de um e-mail especialmente elaborado para o alvo. Caso o usuário abra a mensagem pelo Outlook Web Access e determinadas condições de interação sejam atendidas, códigos JavaScript arbitrários podem ser executados diretamente no contexto do navegador da vítima.
“Se o usuário abrir o e-mail no Outlook Web Access e certas condições de interação forem atendidas, códigos JavaScript arbitrários poderão ser executados no contexto do navegador”, explicou a Microsoft.
Mitigações temporárias
Até o momento, a Microsoft ainda não disponibilizou uma correção definitiva para a vulnerabilidade. Como mitigação temporária, a empresa recomenda que organizações habilitem o Exchange Emergency Mitigation Service (EEMS) e sigam as orientações de segurança publicadas pela companhia.
Em atualização posterior, a Microsoft reforçou a importância da ativação do EEMS como forma de aumentar a proteção contra tentativas de exploração enquanto o patch oficial não é liberado.
Ataques ao Exchange continuam frequentes
A Microsoft não divulgou detalhes técnicos sobre os ataques em andamento nem informações sobre possíveis grupos responsáveis pela exploração da vulnerabilidade. A falha foi reportada por um pesquisador anônimo.
Vulnerabilidades em Microsoft Exchange Server seguem sendo alvos recorrentes de agentes maliciosos devido à ampla adoção da plataforma em ambientes corporativos. Atualmente, o catálogo Known Exploited Vulnerabilities (KEV), mantido pela CISA, reúne dezenas de falhas relacionadas ao Exchange exploradas em ataques reais.
Entretanto, até a publicação desta notícia, a CVE-2026-42897 ainda não havia sido adicionada oficialmente à lista KEV da agência norte-americana.
Para saber mais, clique aqui.