CVE-2026-42897: a falha zero-day no Exchange Server

A Microsoft identificou e corrigiu a CVE-2026-42897, uma vulnerabilidade zero-day no Exchange Server que estava sendo explorada ativamente antes da publicação do patch. A falha permitia que agentes maliciosos executassem código JavaScript arbitrário por meio de ataques de cross-site scripting (XSS), afetando diretamente usuários do Outlook Web Access. O ponto mais crítico: a exploração não exigia nenhum privilégio prévio no ambiente, tornando qualquer instância exposta um alvo em potencial.

Como o ataque ao Outlook Web Access funciona

O vetor de ataque era direto. O agente malicioso enviava um e-mail especialmente construído para um usuário do Exchange Server. Ao abrir a mensagem no Outlook Web Access e sob certas condições de interação, o código JavaScript embutido era executado no contexto do navegador da vítima — sem necessidade de clicar em links ou baixar arquivos. Esse tipo de execução pode resultar em roubo de sessão autenticada, exfiltração de credenciais e acesso não autorizado a outros recursos do ambiente corporativo, incluindo integrações com Microsoft 365 e Azure AD.

Sinais de alerta no Exchange Server e no Outlook Web Access

Alguns indicadores merecem atenção redobrada em ambientes que ainda não aplicaram o patch. Comportamentos inesperados no Outlook Web Access — como redirecionamentos não solicitados ou carregamentos anômalos de página — podem indicar exploração ativa. Alertas de segurança sem causa aparente nos logs do Exchange Server e e-mails com estrutura HTML incomum na caixa de entrada também são sinais que justificam investigação imediata.

Como proteger o Exchange Server agora

A prioridade é aplicar as atualizações de segurança disponibilizadas pela Microsoft para as versões afetadas do Exchange Server — 2016, 2019 e Subscription Edition. Enquanto o patch não é validado em produção, as mitigações temporárias recomendadas pela Microsoft devem permanecer ativas. Além disso, reforçar o acesso ao Outlook Web Access com autenticação multifator, gerenciada via Microsoft 365 ou Azure AD, reduz significativamente a superfície de impacto caso outra vulnerabilidade semelhante seja descoberta.

Checklist pratico

1. Confirme se a versão do Exchange Server em produção já recebeu as atualizações de segurança da Microsoft.
2. Mantenha as mitigações temporárias recomendadas ativas até a validação completa do patch.
3. Revise os logs do Exchange Server e do Outlook Web Access em busca de requisições anômalas anteriores à correção.

Perguntas frequentes

O que é a vulnerabilidade CVE-2026-42897?

É uma falha zero-day no Exchange Server que permite a execução de código JavaScript via ataques XSS no Outlook Web Access, explorável remotamente sem necessidade de privilégios.

Quais versões do Exchange Server são afetadas?

As versões Exchange Server 2016, 2019 e Subscription Edition são afetadas pela CVE-2026-42897.

Como posso proteger meu ambiente?

Aplique as atualizações de segurança da Microsoft para as versões afetadas, mantenha as mitigações temporárias ativas e habilite autenticação multifator no acesso ao Outlook Web Access via Microsoft 365 ou Azure AD.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-exchange-server-zero-day-exploited-in-attacks/