Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Microsoft ujawnił podatność CVE-2026-42897 dotyczącą lokalnych wdrożeń Exchange Server. Problem został sklasyfikowany jako luka typu spoofing wynikająca z błędu cross-site scripting (XSS) w komponencie Outlook Web Access, co oznacza możliwość uruchomienia złośliwego kodu JavaScript w przeglądarce użytkownika po otwarciu odpowiednio spreparowanej wiadomości e-mail.
Najważniejszą informacją dla administratorów jest to, że luka jest już aktywnie wykorzystywana w rzeczywistych atakach. W praktyce podnosi to priorytet działań ochronnych, zwłaszcza w środowiskach, gdzie OWA jest dostępne z Internetu.
W skrócie
- Podatność dotyczy Exchange Server 2016, Exchange Server 2019 oraz Exchange Server Subscription Edition w środowiskach on-premises.
- Atak może zostać zainicjowany przez spreparowaną wiadomość e-mail otwartą w Outlook Web Access.
- Skutkiem może być wykonanie dowolnego kodu JavaScript w kontekście sesji przeglądarki ofiary.
- Exchange Online nie jest objęty tym problemem.
- Microsoft udostępnił tymczasową mitygację przez Exchange Emergency Mitigation Service i przygotowuje trwałą poprawkę.
Kontekst / historia
Lokalny Microsoft Exchange od lat pozostaje jednym z najważniejszych systemów komunikacji w organizacjach, a jednocześnie regularnie znajduje się w centrum zainteresowania cyberprzestępców. Szczególnie groźne są podatności, które można wykorzystać przez wiadomości e-mail lub interfejs webmail, ponieważ skracają drogę do użytkownika końcowego i zwiększają skuteczność ataków socjotechnicznych.
W odpowiedzi na rosnącą presję zagrożeń Microsoft rozwijał mechanizmy szybkiego reagowania dla Exchange, w tym Exchange Emergency Mitigation Service. Model ten pozwala dostarczać tymczasowe środki ochronne jeszcze przed opublikowaniem pełnej poprawki, co ma ograniczyć ryzyko w przypadku aktywnej eksploatacji. CVE-2026-42897 wpisuje się właśnie w ten schemat reagowania operacyjnego.
Analiza techniczna
Z technicznego punktu widzenia CVE-2026-42897 to luka XSS prowadząca do spoofingu w Outlook Web Access. Oznacza to, że aplikacja webowa nie neutralizuje poprawnie części danych używanych do generowania zawartości strony. Napastnik może więc przygotować wiadomość e-mail zawierającą złośliwy ładunek, który po wyrenderowaniu w OWA uruchomi JavaScript w kontekście przeglądarki zalogowanego użytkownika.
To istotne rozróżnienie: dostępne informacje wskazują na wykonanie kodu po stronie klienta, a nie na zdalne wykonanie kodu bezpośrednio na serwerze Exchange. Nie zmniejsza to jednak znaczenia incydentu, ponieważ skrypt uruchomiony w sesji OWA może zostać użyty do manipulacji interfejsem, przejęcia elementów sesji, wykonywania działań w imieniu użytkownika czy przygotowania kolejnych etapów ataku.
Microsoft poinformował, że tymczasowa ochrona jest dostarczana automatycznie przez Exchange Emergency Mitigation Service. Mechanizm ten wykorzystuje między innymi reguły URL Rewrite i inne środki ograniczające, aby blokować znane wzorce nadużyć. W środowiskach odseparowanych od Internetu możliwe jest ręczne wdrożenie ochrony z użyciem Exchange On-Premises Mitigation Tool.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem wykorzystania luki jest przejęcie części kontroli nad sesją użytkownika korzystającego z Outlook Web Access. W zależności od uprawnień ofiary i konfiguracji środowiska może to prowadzić do eskalacji incydentu poza pojedynczą skrzynkę pocztową.
- podszywanie się pod interfejs i wyświetlanie fałszywych komunikatów,
- przechwytywanie lub nadużywanie uwierzytelnionej sesji,
- wykonywanie działań w imieniu użytkownika,
- zwiększenie skuteczności phishingu i działań post-exploitation,
- rozszerzenie kompromitacji na szerszy obszar komunikacji organizacji.
Ryzyko jest szczególnie wysokie tam, gdzie OWA pozostaje publicznie dostępne, a użytkownicy regularnie otwierają wiadomości w przeglądarce. Dodatkowym czynnikiem podnoszącym wagę problemu jest potwierdzenie aktywnej eksploatacji podatności.
Rekomendacje
Organizacje korzystające z lokalnego Exchange Server powinny potraktować CVE-2026-42897 jako problem wymagający natychmiastowej walidacji ekspozycji oraz szybkiego wdrożenia działań ograniczających. Priorytetem powinno być potwierdzenie, czy wszystkie podatne systemy zostały objęte mitygacją.
- zweryfikować, czy środowisko używa Exchange Server 2016, 2019 lub Subscription Edition w modelu on-premises,
- potwierdzić, że Exchange Emergency Mitigation Service jest aktywna i może pobierać reguły ochronne,
- sprawdzić status wdrożenia mitygacji na wszystkich serwerach Exchange,
- w środowiskach odseparowanych wdrożyć ręczną ochronę przy użyciu Exchange On-Premises Mitigation Tool,
- monitorować logi OWA, IIS oraz zdarzenia związane z nietypowymi żądaniami HTTP i anomaliami sesji,
- przygotować procedurę szybkiego wdrożenia trwałej poprawki po jej publikacji,
- rozważyć ograniczenie ekspozycji OWA, wdrożenie MFA, dodatkową inspekcję ruchu aplikacyjnego i segmentację administracyjną.
Z punktu widzenia detekcji warto analizować ślady nietypowego renderowania treści w OWA, próby uruchamiania nieoczekiwanego JavaScript oraz oznaki manipulacji sesją. Zespoły SOC powinny również sprawdzić, czy po potencjalnym otwarciu spreparowanej wiadomości nie doszło do podejrzanych logowań, tworzenia reguł skrzynkowych lub zmian konfiguracji użytkownika.
Podsumowanie
CVE-2026-42897 to istotna podatność w lokalnym Microsoft Exchange Server, łącząca mechanizm XSS z możliwością spoofingu i potwierdzoną aktywną eksploatacją. Chociaż Microsoft udostępnił już tymczasową mitygację, organizacje nie powinny odkładać działań ochronnych.
Najważniejsze kroki to szybkie potwierdzenie skali narażenia, wdrożenie dostępnych mechanizmów ograniczających oraz gotowość do natychmiastowej instalacji trwałej poprawki po jej opublikowaniu. W przypadku środowisk z publicznie dostępnym OWA czas reakcji może mieć kluczowe znaczenie dla ograniczenia skutków incydentu.
Źródła
- https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html
- https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-emergency-mitigation-service
- https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498/replies/4519822