Microsoft Exchange bez łatki: aktywnie wykorzystywana luka zero-day w OWA zagraża organizacjom - Security Bez Tabu

Microsoft Exchange bez łatki: aktywnie wykorzystywana luka zero-day w OWA zagraża organizacjom

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft ujawnił podatność zero-day oznaczoną jako CVE-2026-42897, która dotyczy środowisk Microsoft Exchange Server wdrażanych lokalnie. Luka koncentruje się na komponencie Outlook Web Access i wynika z błędu typu cross-site scripting, umożliwiającego wykonanie złośliwego kodu JavaScript w kontekście sesji użytkownika korzystającego z przeglądarki.

Szczególną wagę incydentowi nadaje fakt, że podatność była aktywnie wykorzystywana już w momencie ujawnienia, a finalna poprawka bezpieczeństwa nie była jeszcze dostępna. Oznacza to konieczność natychmiastowego wdrożenia działań łagodzących i potraktowania zagrożenia jako priorytetowego.

W skrócie

CVE-2026-42897 obejmuje Microsoft Exchange Server 2016, 2019 oraz Subscription Edition. Atak może zostać przeprowadzony poprzez dostarczenie specjalnie spreparowanej wiadomości e-mail, której otwarcie w OWA prowadzi do uruchomienia kodu w przeglądarce ofiary.

  • zagrożone są środowiska Exchange on-premises z dostępem do OWA,
  • atak może skutkować przejęciem sesji użytkownika i kompromitacją skrzynki,
  • ryzyko obejmuje kradzież tokenów, podszywanie się pod użytkownika i trwałe zmiany w konfiguracji poczty,
  • Microsoft zaleca użycie Exchange Emergency Mitigation Service oraz Exchange On-premises Mitigation Tool,
  • brak oficjalnej łatki zwiększa presję na szybkie działania operacyjne i monitoring.

Kontekst / historia

Podatność została publicznie ujawniona 14 maja 2026 r., krótko po majowym cyklu publikacji aktualizacji bezpieczeństwa. Branża zwróciła na nią szczególną uwagę, ponieważ łączy dwa najgroźniejsze czynniki z perspektywy obrony: aktywną eksploatację oraz brak dostępnej poprawki.

Dla organizacji utrzymujących własne środowiska Exchange oznacza to scenariusz wysokiego ryzyka operacyjnego. Zamiast standardowego procesu wdrożenia łaty administratorzy muszą oprzeć się na mitigacjach, walidacji ekspozycji oraz analizie, czy nie doszło już do nadużycia sesji użytkowników korzystających z webmaila.

Analiza techniczna

Źródłem problemu jest podatność XSS w interfejsie OWA. Mechanizm ataku zakłada dostarczenie odpowiednio spreparowanej wiadomości e-mail do użytkownika, a następnie wykonanie złośliwego kodu JavaScript po jej otwarciu w przeglądarkowym kliencie poczty.

To nie jest klasyczny scenariusz bezpośredniego przejęcia serwera Exchange. Znacznie istotniejszy jest tutaj dostęp do zaufanego kontekstu aplikacji pocztowej, w którym skrypt może wykonywać działania w imieniu ofiary. Taki model umożliwia odczyt danych dostępnych w aktywnej sesji, manipulowanie interfejsem oraz uruchamianie operacji bez wiedzy użytkownika.

  • odczyt korespondencji dostępnej w bieżącej sesji,
  • wysyłanie wiadomości jako zaatakowany użytkownik,
  • przechwycenie lub nadużycie tokenów sesyjnych,
  • tworzenie reguł przekierowań i innych trwałych zmian w skrzynce,
  • modyfikowanie treści wiadomości lub parametrów konfiguracyjnych.

Z praktycznego punktu widzenia podatność może stać się punktem wyjścia do działań charakterystycznych dla business email compromise. Napastnik nie musi przejmować serwera, aby uzyskać dostęp do wartościowej komunikacji, przejąć tożsamość użytkownika i przygotować kolejne etapy ataku.

Microsoft wskazał dwa podstawowe mechanizmy ograniczania ryzyka do czasu publikacji poprawki: Exchange Emergency Mitigation Service, który może automatycznie wdrożyć odpowiednie obejście, oraz zaktualizowane narzędzie Exchange On-premises Mitigation Tool, możliwe do uruchomienia ręcznie. Producent zaznaczył również, że zastosowane obejścia mogą wpływać na działanie części funkcji OWA.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2026-42897 należy ocenić jako wysokie, szczególnie w organizacjach, które udostępniają OWA do Internetu i posiadają dużą liczbę użytkowników korzystających z webmaila. Brak centralnie aktywnego mechanizmu mitigacji oraz ograniczony monitoring aktywności w skrzynkach dodatkowo zwiększają ekspozycję.

Najpoważniejsze skutki biznesowe obejmują przejęcie komunikacji, nadużycie tożsamości użytkownika i możliwość prowadzenia oszustw finansowych. Atakujący może uzyskać dostęp do poufnej korespondencji, inicjować fałszywe instrukcje płatnicze, ukrywać ślady przez reguły skrzynkowe i wykorzystywać przejęte konto do dalszej infiltracji środowiska.

Istotne jest również to, że późniejsze wdrożenie poprawki nie musi automatycznie usunąć skutków wcześniejszego naruszenia. Jeśli napastnik zdążył utworzyć reguły przekierowań, pozyskać tokeny sesyjne lub zmienić konfigurację skrzynki, organizacja może pozostawać skompromitowana nawet po ograniczeniu samej luki.

Rekomendacje

Zespoły administracyjne i SOC powinny potraktować tę podatność jak incydent wymagający pilnej weryfikacji ekspozycji oraz oznak wcześniejszej eksploatacji. Działania nie powinny ograniczać się wyłącznie do wdrożenia mitigacji, ale obejmować także analizę integralności skrzynek i tożsamości.

  • zweryfikować, czy organizacja korzysta z Exchange Server 2016, 2019 lub Subscription Edition oraz czy OWA jest publicznie dostępne,
  • potwierdzić, że Exchange Emergency Mitigation Service jest aktywny i poprawnie wdrożył mitigację,
  • w przypadku braku EEMS niezwłocznie wdrożyć aktualną wersję Exchange On-premises Mitigation Tool,
  • monitorować logi OWA, IIS i Exchange pod kątem nietypowych zdarzeń oraz zmian w skrzynkach,
  • przeprowadzić audyt reguł skrzynkowych, przekierowań, delegacji i zmian konfiguracyjnych,
  • przejrzeć aktywne sesje i rozważyć wymuszenie ponownego uwierzytelnienia użytkowników wysokiego ryzyka,
  • szczególnie skontrolować skrzynki uprzywilejowane oraz konta finansowe pod kątem oznak BEC,
  • przygotować plan natychmiastowego wdrożenia poprawki po jej publikacji przez Microsoft,
  • przekazać użytkownikom zalecenia ograniczające ryzyko otwierania podejrzanych wiadomości w OWA,
  • traktować potencjalnie narażone środowiska jako możliwie skompromitowane do czasu zakończenia analizy śledczej.

W organizacjach o wyższych wymaganiach bezpieczeństwa warto dodatkowo rozszerzyć monitoring o wykrywanie anomalii w dostępie do skrzynek, korelację zdarzeń między warstwą pocztową i tożsamościową oraz przegląd historycznych działań administracyjnych w Exchange.

Podsumowanie

CVE-2026-42897 pokazuje, że nawet dobrze znane klasy błędów, takie jak XSS, mogą mieć bardzo poważne konsekwencje w środowiskach enterprise. W przypadku Microsoft Exchange skutkiem nie musi być pełne przejęcie serwera, aby organizacja poniosła realne straty operacyjne i finansowe.

Do czasu publikacji oficjalnej poprawki kluczowe znaczenie ma szybkie wdrożenie dostępnych mitigacji, kontrola integralności skrzynek pocztowych oraz aktywne poszukiwanie oznak wcześniejszej kompromitacji. Dla wielu organizacji będzie to test dojrzałości procesów reagowania, monitoringu i ochrony tożsamości.

Źródła

  1. Dark Reading — Microsoft Exchange Zero-Day Under Attack, No Patch Available — https://www.darkreading.com/vulnerabilities-threats/microsoft-exchange-zero-day-no-patch
  2. Microsoft Exchange Team Blog — Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 — https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498
  3. Microsoft Security Response Center — CVE-2026-42897 — https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-42897
  4. CISA — Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?page=0
  5. Centre for Cybersecurity Belgium — WARNING: Cross-Site Scripting in Microsoft Exchange Server Can Be Exploited to Perform Spoofing and Session Hijacking — https://ccb.belgium.be/advisories/warning-cross-site-scripting-microsoft-exchange-server-can-be-exploited-perform-spoofing