CISA dodaje aktywnie wykorzystywaną lukę w Microsoft Exchange Server do katalogu KEV

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA dopisała podatność CVE-2026-42897 dotyczącą Microsoft Exchange Server do katalogu Known Exploited Vulnerabilities, czyli listy luk bezpieczeństwa potwierdzonych jako wykorzystywane w rzeczywistych atakach. Problem dotyczy komponentu Outlook Web Access i został sklasyfikowany jako podatność typu cross-site scripting, która może prowadzić do spoofingu realizowanego przez sieć.

To istotny sygnał ostrzegawczy dla administratorów i zespołów bezpieczeństwa, ponieważ obecność luki w katalogu KEV oznacza wysoki priorytet działań naprawczych. W praktyce organizacje korzystające z lokalnych wdrożeń Exchange powinny potraktować tę podatność jako bezpośrednie ryzyko operacyjne.

W skrócie

• CVE-2026-42897 dotyczy Microsoft Exchange Server i komponentu Outlook Web Access.
• Podatność ma ocenę CVSS 8.1 i jest aktywnie wykorzystywana.
• Atak może zostać uruchomiony przez odpowiednio spreparowaną wiadomość e-mail otwartą w OWA.
• CISA dodała lukę do katalogu KEV i wyznaczyła termin remediacji dla agencji federalnych do 29 maja 2026 r.
• Najbardziej narażone są środowiska Exchange on-premises dostępne z Internetu.

Kontekst / historia

Microsoft Exchange Server od lat pozostaje jednym z najczęściej atakowanych elementów infrastruktury przedsiębiorstw. Serwer pocztowy zapewnia przeciwnikom potencjalny dostęp do komunikacji organizacji, załączników, harmonogramów, procesów biznesowych i często także do danych uwierzytelniających lub mechanizmów integracyjnych.

Historia incydentów związanych z Exchange pokazuje, że luki w tym produkcie były wielokrotnie wykorzystywane przez grupy ransomware, operatorów kampanii szpiegowskich i cyberprzestępców szukających punktu wejścia do środowisk firmowych. Szczególnie niebezpieczne są przypadki obejmujące usługi publikowane do Internetu, takie jak Outlook Web Access, ponieważ zwiększają one powierzchnię ataku i ułatwiają dostarczenie złośliwej treści bez potrzeby uzyskiwania wcześniejszego dostępu do sieci wewnętrznej.

W przypadku CVE-2026-42897 dodatkowym czynnikiem ryzyka jest potwierdzenie aktywnej eksploatacji. Oznacza to, że zagrożenie nie ma charakteru wyłącznie teoretycznego, lecz zostało zaobserwowane w rzeczywistych działaniach ofensywnych.

Analiza techniczna

Podatność została opisana jako improper neutralization of input during web page generation, co oznacza niewłaściwe oczyszczanie lub kodowanie danych wejściowych przed ich wygenerowaniem w stronie internetowej. Jest to klasyczny mechanizm prowadzący do XSS, w którym złośliwa treść może zostać wykonana po stronie przeglądarki użytkownika.

W scenariuszu wskazanym przez producenta problem dotyczy Outlook Web Access. Napastnik może przygotować wiadomość e-mail zawierającą specjalnie spreparowaną zawartość, która po otwarciu w interfejsie OWA doprowadzi do wykonania złośliwego kodu JavaScript w określonym kontekście sesji ofiary. Chociaż formalna klasyfikacja mówi o spoofingu, praktyczne skutki mogą obejmować znacznie szerszy zakres działań.

Uruchomienie kodu w sesji webmaila może umożliwić manipulowanie widokiem interfejsu, przechwycenie elementów sesji, wykonywanie działań w imieniu zalogowanego użytkownika, a także przygotowanie kolejnych etapów ataku. Tego typu podatności są szczególnie groźne, ponieważ nie wymagają klasycznego malware w postaci pliku wykonywalnego. Wystarczający może być sam e-mail oraz interakcja użytkownika z legalnym interfejsem pocztowym.

Z perspektywy zespołów SOC i administratorów oznacza to trudniejszą detekcję. Aktywność może przypominać zwykłe użycie webmaila, a nie klasyczny incydent z udziałem złośliwego oprogramowania, przez co analiza logów i korelacja zdarzeń stają się bardziej wymagające.

Konsekwencje / ryzyko

Największe ryzyko dotyczy organizacji utrzymujących lokalne środowiska Exchange Server z publicznie dostępnym Outlook Web Access. W takim modelu napastnik może wykorzystać legalny kanał komunikacji do dostarczenia złośliwej treści bez konieczności stosowania bardziej złożonych metod wejścia.

Możliwe skutki incydentu obejmują kradzież danych z poczty elektronicznej, nadużycie uprawnień użytkownika, manipulację regułami skrzynkowymi, przejęcie części aktywności w sesji, a także przygotowanie dalszych etapów ataku, takich jak phishing wewnętrzny lub ruch boczny w środowisku. W przypadku organizacji o dużej zależności od poczty elektronicznej skutki mogą mieć charakter zarówno operacyjny, jak i biznesowy.

Dodanie luki do katalogu KEV dodatkowo podnosi jej znaczenie. Dla zespołów bezpieczeństwa jest to czytelny komunikat, że podatność wymaga natychmiastowej oceny ekspozycji, wdrożenia mitigacji i przygotowania do szybkiej instalacji poprawki bezpieczeństwa.

Rekomendacje

Organizacje powinny niezwłocznie przeprowadzić inwentaryzację wszystkich instancji Microsoft Exchange Server, ze szczególnym uwzględnieniem środowisk on-premises udostępniających OWA. Jeśli docelowa poprawka bezpieczeństwa nie została jeszcze wdrożona, należy zastosować tymczasowe środki zaradcze rekomendowane przez producenta oraz ograniczyć ekspozycję usługi tam, gdzie to możliwe.

• zidentyfikować wszystkie serwery Exchange działające w organizacji,
• sprawdzić, które instancje publikują Outlook Web Access do Internetu,
• wdrożyć tymczasowe mitigacje zalecane przez Microsoft,
• zwiększyć monitoring logów OWA, IIS i zdarzeń związanych z sesjami użytkowników,
• analizować wiadomości e-mail zawierające nietypowe lub aktywne treści,
• zweryfikować reguły skrzynkowe, oznaki nadużyć kont i anomalie w zachowaniu użytkowników,
• przygotować procedury szybkiej izolacji serwera pocztowego,
• wdrożyć poprawkę bezpieczeństwa natychmiast po jej opublikowaniu lub zatwierdzeniu do instalacji.

Dodatkowo warto rozważyć ograniczenie dostępu do webmaila poprzez segmentację, wymuszenie MFA, kontrolę lokalizacji logowania oraz reguły detekcyjne ukierunkowane na nietypowe zachowania w sesjach przeglądarkowych. W środowiskach o podwyższonym ryzyku dobrym kierunkiem jest także przegląd architektury dostępu do usług pocztowych publikowanych na zewnątrz.

Podsumowanie

CVE-2026-42897 to kolejna poważna podatność pokazująca, jak istotnym celem dla napastników pozostaje Microsoft Exchange Server. Luka wpływa na Outlook Web Access, jest aktywnie wykorzystywana i została oficjalnie dodana do katalogu KEV przez CISA, co wyraźnie podnosi jej priorytet remediacyjny.

Dla administratorów i zespołów bezpieczeństwa oznacza to konieczność szybkiej oceny narażenia środowiska, wdrożenia środków tymczasowych oraz przygotowania do bezzwłocznej aktualizacji. W praktyce każda organizacja korzystająca z Exchange on-premises powinna założyć, że ryzyko jest realne i wymaga natychmiastowej reakcji.

Źródła

• Security Affairs – U.S. CISA adds a flaw in Microsoft Exchange Server to its Known Exploited Vulnerabilities catalog
• Microsoft Security Response Center – CVE-2026-42897
• Microsoft Community Hub – Addressing Exchange Server May 2026 vulnerability CVE-2026-42897
• CVE.org – CVE-2026-42897
• CISA – Known Exploited Vulnerabilities Catalog