Brecha permitia execução de JavaScript via XSS diretamente no Outlook Web Access.
A Microsoft corrigiu a CVE-2026-42897, uma vulnerabilidade zero-day no Exchange Server que permitia execução de código JavaScript via ataques XSS no Outlook Web Access. As versões 2016, 2019 e Subscription Edition eram afetadas, e a exploração remota não exigia privilégios. O patch já está disponível.
A Microsoft identificou e corrigiu a CVE-2026-42897, uma vulnerabilidade zero-day no Exchange Server que estava sendo explorada ativamente antes da publicação do patch. A falha permitia que agentes maliciosos executassem código JavaScript arbitrário por meio de ataques de cross-site scripting (XSS), afetando diretamente usuários do Outlook Web Access. O ponto mais crítico: a exploração não exigia nenhum privilégio prévio no ambiente, tornando qualquer instância exposta um alvo em potencial.
O vetor de ataque era direto. O agente malicioso enviava um e-mail especialmente construído para um usuário do Exchange Server. Ao abrir a mensagem no Outlook Web Access e sob certas condições de interação, o código JavaScript embutido era executado no contexto do navegador da vítima — sem necessidade de clicar em links ou baixar arquivos. Esse tipo de execução pode resultar em roubo de sessão autenticada, exfiltração de credenciais e acesso não autorizado a outros recursos do ambiente corporativo, incluindo integrações com Microsoft 365 e Azure AD.
Alguns indicadores merecem atenção redobrada em ambientes que ainda não aplicaram o patch. Comportamentos inesperados no Outlook Web Access — como redirecionamentos não solicitados ou carregamentos anômalos de página — podem indicar exploração ativa. Alertas de segurança sem causa aparente nos logs do Exchange Server e e-mails com estrutura HTML incomum na caixa de entrada também são sinais que justificam investigação imediata.
A prioridade é aplicar as atualizações de segurança disponibilizadas pela Microsoft para as versões afetadas do Exchange Server — 2016, 2019 e Subscription Edition. Enquanto o patch não é validado em produção, as mitigações temporárias recomendadas pela Microsoft devem permanecer ativas. Além disso, reforçar o acesso ao Outlook Web Access com autenticação multifator, gerenciada via Microsoft 365 ou Azure AD, reduz significativamente a superfície de impacto caso outra vulnerabilidade semelhante seja descoberta.
É uma falha zero-day no Exchange Server que permite a execução de código JavaScript via ataques XSS no Outlook Web Access, explorável remotamente sem necessidade de privilégios.
As versões Exchange Server 2016, 2019 e Subscription Edition são afetadas pela CVE-2026-42897.
Aplique as atualizações de segurança da Microsoft para as versões afetadas, mantenha as mitigações temporárias ativas e habilite autenticação multifator no acesso ao Outlook Web Access via Microsoft 365 ou Azure AD.
Entre em contato com nossos especialistas para garantir a segurança de sua infraestrutura contra vulnerabilidades como esta.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com