Vulnerabilidade no Exchange Server permite execução de código via XSS - veja como se proteger.
Uma nova vulnerabilidade de alta gravidade foi identificada no Microsoft Exchange Server, permitindo que atacantes executem código arbitrário via XSS. A Microsoft disponibilizou mitigações temporárias enquanto trabalha em um patch definitivo.
A Microsoft alertou sobre uma vulnerabilidade crítica no Exchange Server que está sendo explorada ativamente por atacantes. Esta falha, identificada como CVE-2026-42897, permite que invasores executem código malicioso através de um ataque de cross-site scripting (XSS) ao direcionar usuários do Outlook na web.
A vulnerabilidade é explorada quando um atacante envia um email especialmente criado para um usuário. Se o email for aberto no Outlook Web Access e certas condições de interação forem atendidas, o JavaScript arbitrário pode ser executado no contexto do navegador do usuário, permitindo o controle remoto.
Para identificar possíveis explorações, fique atento a:
A Microsoft recomenda a ativação imediata do Exchange Emergency Mitigation Service (EEMS) para mitigar a vulnerabilidade. Se o serviço estiver desativado, ative-o o quanto antes. Além disso, mantenha o sistema atualizado e monitore regularmente os logs de segurança.
Uma falha zero-day é uma vulnerabilidade desconhecida pelos desenvolvedores do software, mas que pode ser explorada por atacantes antes de um patch ser disponibilizado.
A Microsoft disponibilizou mitigações temporárias através do Exchange Emergency Mitigation Service enquanto trabalha em um patch definitivo.
Ative o EEMS, mantenha seu software atualizado e eduque os usuários sobre os riscos de emails suspeitos.
Entre em contato com nossos especialistas para garantir que sua organização esteja protegida contra vulnerabilidades críticas.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com