Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft ujawnił podatność dnia zerowego CVE-2026-42897 dotyczącą lokalnych wdrożeń Microsoft Exchange Server. Luka koncentruje się na komponencie Outlook Web Access i wynika z błędu typu cross-site scripting, co może umożliwić wykonanie złośliwego kodu JavaScript w kontekście aktywnej sesji użytkownika korzystającego z poczty przez przeglądarkę.
W praktyce oznacza to ryzyko przejęcia dostępu do skrzynki pocztowej, kradzieży tokenów sesyjnych oraz nadużyć tożsamości. Zagrożenie dotyczy środowisk on-premises, a więc organizacji utrzymujących własne serwery Exchange zamiast korzystać wyłącznie z chmury.
W skrócie
- CVE-2026-42897 to aktywnie wykorzystywana luka zero-day w Microsoft Exchange OWA.
- Problem obejmuje Exchange Server 2016, Exchange Server 2019 oraz Exchange Server Subscription Edition wdrażane lokalnie.
- Atak może zostać uruchomiony poprzez odpowiednio spreparowaną wiadomość e-mail otwartą w OWA.
- W chwili ujawnienia nie była dostępna pełna poprawka bezpieczeństwa.
- Microsoft zalecił zastosowanie awaryjnych mechanizmów mitygacyjnych, w tym Emergency Mitigation Service oraz Exchange On-premises Mitigation Tool.
Kontekst / historia
Sprawa zyskała duże znaczenie operacyjne, ponieważ podatność została ujawniona krótko po comiesięcznym cyklu aktualizacji bezpieczeństwa. W efekcie administratorzy środowisk Exchange musieli reagować poza standardowym harmonogramem wdrożeń poprawek.
W odróżnieniu od części historycznych incydentów związanych z Microsoft Exchange, tym razem głównym skutkiem ataku nie musi być pełne przejęcie serwera. Kluczowym celem może być kompromitacja skrzynki pocztowej użytkownika i wykorzystanie jej jako źródła danych, kanału podszywania się lub narzędzia do dalszych działań wewnątrz organizacji.
To istotna zmiana perspektywy. Nawet bez bezpośredniej kontroli nad systemem operacyjnym lub usługą Exchange napastnik może osiągnąć cele o wysokiej wartości biznesowej, takie jak dostęp do poufnej korespondencji, resetów haseł, danych finansowych czy wątków komunikacyjnych z klientami i partnerami.
Analiza techniczna
CVE-2026-42897 została sklasyfikowana jako podatność typu spoofing, której techniczną przyczyną jest błąd XSS w Outlook Web Access. Scenariusz ataku zakłada dostarczenie ofierze spreparowanej wiadomości e-mail. Jeśli użytkownik otworzy ją w interfejsie OWA i spełnione zostaną określone warunki interakcji, w przeglądarce może zostać uruchomiony arbitralny kod JavaScript w kontekście sesji zalogowanego użytkownika.
Z punktu widzenia bezpieczeństwa aplikacji webowych taki skrypt działa z uprawnieniami ofiary w ramach aktywnej sesji. Oznacza to możliwość wykonywania działań tak, jakby były one inicjowane przez prawowitego użytkownika, bez potrzeby klasycznego przełamania uwierzytelnienia.
Potencjalne skutki techniczne obejmują:
- odczyt zawartości skrzynki pocztowej,
- wysyłanie wiadomości jako ofiara,
- przejmowanie tokenów sesji,
- modyfikację ustawień skrzynki,
- tworzenie reguł automatycznego przekazywania wiadomości,
- manipulowanie treścią i przepływem komunikacji.
Znaczenie podatności rośnie ze względu na rolę OWA jako interfejsu webowego do krytycznych danych organizacyjnych. Nawet luka pozornie ograniczona do warstwy prezentacji może zapewnić trwały dostęp do komunikacji biznesowej i wspierać kolejne etapy operacji, w tym oszustwa płatnicze, wtórne kampanie phishingowe czy przygotowanie gruntu pod ransomware.
Microsoft wskazał dwie główne ścieżki ograniczenia ryzyka do czasu publikacji pełnej poprawki. Pierwszą jest Exchange Emergency Mitigation Service, który może automatycznie wdrażać awaryjne zabezpieczenia dla wspieranych wersji Exchange. Drugą stanowi zaktualizowane narzędzie Exchange On-premises Mitigation Tool, które można uruchamiać lokalnie na serwerach lub z poziomu powłoki administracyjnej. Producent zaznaczył jednocześnie, że wdrożone mitygacje mogą powodować ograniczenia wybranych funkcji OWA.
Konsekwencje / ryzyko
Najpoważniejszym efektem luki jest kompromitacja skrzynki pocztowej użytkownika, a niekoniecznie natychmiastowe przejęcie całego serwera Exchange. Z biznesowego punktu widzenia pozostaje to jednak incydentem wysokiego ryzyka, ponieważ poczta elektroniczna nadal pełni centralną rolę w komunikacji, autoryzacji procesów i obiegu danych wrażliwych.
Praktyczne następstwa mogą obejmować:
- business email compromise i podszywanie się pod pracowników,
- kradzież informacji poufnych oraz danych osobowych,
- utrzymanie dostępu dzięki regułom automatycznego przekazywania poczty,
- przejęcie wątków komunikacyjnych z kontrahentami,
- pozyskanie materiału do kolejnych kampanii phishingowych,
- wsparcie dla działań ransomware poprzez rozpoznanie środowiska i nadużycie tożsamości.
Ryzyko jest szczególnie wysokie w organizacjach, które utrzymują lokalne instancje Exchange dostępne z Internetu, intensywnie wykorzystują OWA i nie posiadają skutecznego monitoringu anomalii w skrzynkach pocztowych. Dodatkowym wyzwaniem jest fakt, że taki atak może pozostawiać mniej oczywiste ślady niż klasyczna kompromitacja hosta, jeśli jego głównym celem jest wykorzystanie legalnej sesji użytkownika.
Rekomendacje
Organizacje korzystające z Exchange Server 2016, 2019 oraz Subscription Edition powinny potraktować tę podatność priorytetowo. Do czasu publikacji pełnej poprawki kluczowe jest wdrożenie działań tymczasowych oraz rozszerzenie monitoringu bezpieczeństwa.
Najważniejsze działania operacyjne to:
- niezwłoczne włączenie i weryfikacja działania Exchange Emergency Mitigation Service,
- zastosowanie aktualnej wersji Exchange On-premises Mitigation Tool zgodnie z zaleceniami producenta,
- ograniczenie ekspozycji OWA do Internetu wszędzie tam, gdzie jest to możliwe,
- wymuszenie dodatkowych zabezpieczeń dostępu, w tym MFA dla użytkowników webmaila,
- przegląd aktywnych sesji oraz unieważnienie podejrzanych tokenów,
- kontrola reguł skrzynek pocztowych, zwłaszcza forwarding, redirect i ukrytych reguł klienta,
- analiza logów OWA, Exchange i systemów tożsamości pod kątem nietypowych działań,
- wdrożenie detekcji anomalii, takich jak masowe odczyty wiadomości, zmiany konfiguracji czy wysyłka z nietypowych adresów IP,
- czasowe zwiększenie świadomości użytkowników dotyczącej ostrożności przy otwieraniu wiadomości w OWA,
- przygotowanie procesu szybkiego wdrożenia poprawki natychmiast po jej publikacji.
Z perspektywy SOC i zespołów reagowania na incydenty warto założyć, że wektor ten prowadzi przede wszystkim do nadużycia tożsamości oraz legalnej sesji użytkownika. Dochodzenie nie powinno więc ograniczać się wyłącznie do telemetrii endpointów, lecz obejmować również artefakty pocztowe, historię sesji, zmiany konfiguracji skrzynek i reguły przetwarzania wiadomości.
Podsumowanie
CVE-2026-42897 pokazuje, że nawet dobrze znane klasy błędów, takie jak XSS, nadal stanowią realne zagrożenie dla środowisk korporacyjnych. W tym przypadku podatność w Microsoft Exchange OWA może prowadzić do przejęcia skrzynki pocztowej, kradzieży sesji oraz nadużyć biznesowych o dużej skali wpływu.
Brak natychmiastowo dostępnej poprawki zwiększa presję na szybkie wdrożenie mitygacji i aktywne monitorowanie oznak kompromitacji. Dla administratorów Exchange to kolejny sygnał, że bezpieczeństwo interfejsów webmail pozostaje jednym z kluczowych elementów ochrony tożsamości, komunikacji i procesów biznesowych.
Źródła
- Dark Reading — https://www.darkreading.com/vulnerabilities-threats/microsoft-exchange-zero-day-no-patch
- Microsoft Security Response Center — CVE-2026-42897 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
- Microsoft Exchange Team Blog — Released Exchange Server Emergency Mitigation for CVE-2026-42897 — https://techcommunity.microsoft.com/blog/exchange/released-exchange-server-emergency-mitigation-for-cve-2026-42897/4423743
- CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- CVE Program — CVE-2026-42897 — https://www.cve.org/CVERecord?id=CVE-2026-42897