NetCatTest

Zero-Day & Exploits

CVE-2026-42897: Microsoft confirma exploração ativa de falha XSS no Exchange Server local via e-mail malicioso

A Microsoft confirmou a exploração ativa da vulnerabilidade CVE-2026-42897 afetando versões locais do Microsoft Exchange Server.

15/05/2026 6 min leitura

A Microsoft divulgou uma nova vulnerabilidade crítica afetando ambientes locais do Microsoft Exchange Server. A falha foi identificada como CVE-2026-42897 e já está sendo explorada ativamente segundo a própria empresa.

A vulnerabilidade foi classificada com pontuação CVSS 8.1 e envolve um problema de cross-site scripting (XSS) capaz de permitir spoofing dentro do ambiente Exchange.

CVE Produto afetado Tipo CVSS
CVE-2026-42897 Microsoft Exchange Server Cross-Site Scripting (XSS) / Spoofing 8.1

Segundo a Microsoft, a vulnerabilidade ocorre devido à neutralização inadequada de entradas durante a geração de páginas web dentro do Exchange Server.

Como o ataque funciona?

A exploração da CVE-2026-42897 depende do envio de um e-mail malicioso para um usuário utilizando Outlook Web Access (OWA).

Fluxo conceitual do ataque:

Código
e-mail malicioso → abertura no OWA → execução de JavaScript → spoofing → possível comprometimento da sessão

Segundo a Microsoft, ao abrir a mensagem maliciosa sob determinadas condições de interação, o navegador pode executar JavaScript arbitrário dentro do contexto do Outlook Web Access.

Isso significa que o atacante potencialmente consegue:

Checklist
  • Executar JavaScript arbitrário no navegador
  • Manipular conteúdo exibido no OWA
  • Realizar spoofing de interface
  • Roubar tokens de sessão
  • Capturar informações do usuário
  • Redirecionar vítimas para páginas falsas
  • Executar ações utilizando a sessão autenticada

Embora a empresa ainda não tenha divulgado detalhes completos da exploração observada, o fato da vulnerabilidade já estar sendo utilizada ativamente aumenta significativamente a criticidade do caso.

O que torna essa vulnerabilidade perigosa?

O Outlook Web Access é amplamente utilizado em ambientes corporativos para acesso remoto a e-mails e recursos do Exchange.

Isso significa que um ataque bem-sucedido pode atingir:

Checklist
  • Administradores de e-mail
  • Usuários corporativos
  • Servidores internos
  • Sessões autenticadas
  • Ambientes híbridos Exchange
  • Infraestruturas corporativas críticas

O principal risco não é apenas o XSS em si, mas o contexto altamente privilegiado onde ele acontece.

Quando um JavaScript é executado dentro de uma sessão autenticada do OWA, ele pode interagir diretamente com elementos acessíveis ao usuário logado.

Exchange Online não é afetado

Segundo a Microsoft, a vulnerabilidade afeta apenas versões locais (on-premises) do Exchange Server.

O Exchange Online não foi impactado.

As versões vulneráveis incluem:

Checklist
  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition (SE)

A Microsoft informou que todas as versões e níveis de atualização dessas edições devem ser considerados vulneráveis até aplicação da mitigação.

Produto Status
Exchange Online Não afetado
Exchange Server 2016 Vulnerável
Exchange Server 2019 Vulnerável
Exchange Server Subscription Edition Vulnerável

Mitigação temporária via Exchange Emergency Mitigation Service

Enquanto prepara um patch definitivo, a Microsoft disponibilizou uma mitigação temporária através do Exchange Emergency Mitigation Service (EEMS).

O mecanismo funciona automaticamente utilizando regras de reescrita de URL.

Segundo a empresa, o serviço vem habilitado por padrão nos ambientes suportados.

Fluxo simplificado:

Código
detecção da vulnerabilidade → distribuição da mitigação → aplicação automática via URL Rewrite

A recomendação oficial é verificar imediatamente se o serviço está ativo.

Prompt de comando
Get-Service MSExchangeMitigation

Caso esteja desabilitado:

Prompt de comando
Start-Service MSExchangeMitigation

Ambientes isolados (air-gap) exigem mitigação manual

Para ambientes sem conectividade externa ou com isolamento físico (air-gap), a Microsoft recomenda aplicar manualmente a mitigação utilizando a Exchange On-Premises Mitigation Tool (EOMT).

A ferramenta pode ser baixada em:

Microsoft UnifiedEOMT

Execução para servidor único:

Terminal Linux
.\EOMT.ps1 -CVE "CVE-2026-42897"

Execução para múltiplos servidores:

Terminal Linux
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"

A Microsoft também informou que existe um problema visual conhecido na ferramenta.

Em alguns casos, a interface pode exibir:

Código
Mitigação inválida para esta versão do Exchange

Segundo a empresa, trata-se apenas de um erro visual.

Ainda existem poucas informações sobre os ataques

Até o momento, a Microsoft não divulgou detalhes técnicos completos sobre os ataques observados.

Ainda não se sabe:

Checklist
  • Qual grupo está explorando a falha
  • Quem são os alvos principais
  • Quantos ambientes foram comprometidos
  • Se houve pós-exploração
  • Se existem campanhas automatizadas
  • Qual payload JavaScript está sendo utilizado

Mesmo assim, o status de exploração ativa já é suficiente para tratar o problema como prioridade operacional.

XSS em aplicações corporativas continua extremamente relevante

Embora cross-site scripting seja uma vulnerabilidade antiga, ela continua sendo extremamente perigosa em aplicações corporativas modernas.

Em ambientes como Exchange, OWA e painéis administrativos, um XSS pode permitir:

Checklist
  • Roubo de sessão
  • Execução de ações administrativas
  • Persistência via navegador
  • Movimentação lateral
  • Coleta de informações internas
  • Manipulação de conteúdo corporativo

Fluxo conceitual possível:

Código
e-mail malicioso → XSS no OWA → roubo de sessão → acesso autenticado → abuso da conta

Isso se torna ainda mais crítico em ambientes onde administradores utilizam o OWA diretamente.

Recomendações imediatas

Administradores Exchange devem agir rapidamente para reduzir o risco.

Ações recomendadas:

Checklist
  • Verificar se o Exchange Emergency Mitigation Service está ativo
  • Aplicar mitigação manual em ambientes air-gap
  • Monitorar acessos suspeitos ao OWA
  • Inspecionar logs HTTP do Exchange
  • Monitorar execuções JavaScript anômalas
  • Restringir acesso externo ao OWA quando possível
  • Aplicar futuras correções assim que disponíveis

Verificação rápida do status do Exchange:

Prompt de comando
Get-ExchangeServer

Verificação de serviços relacionados:

Prompt de comando
Get-Service *Exchange*

Conclusão

A CVE-2026-42897 reforça como aplicações corporativas expostas à internet continuam sendo alvo prioritário para exploração ativa.

Mesmo sendo “apenas” uma falha XSS, o impacto potencial aumenta drasticamente quando o problema ocorre dentro de um ambiente autenticado como o Outlook Web Access.

O caso também demonstra uma tendência importante: ataques modernos frequentemente começam com vetores simples, como e-mails maliciosos, mas exploram aplicações corporativas altamente privilegiadas para ampliar impacto.

Com exploração ativa já confirmada pela Microsoft, administradores de Exchange Server devem tratar a mitigação como prioridade imediata até a disponibilização do patch definitivo.

Fontes consultadas

The Hacker News

Microsoft MSRC

Microsoft Exchange Team Blog

Escrito por

Daniel Felipe é criador do NetCatTest e produz conteúdos sobre cibersegurança, privacidade digital, OSINT, laboratórios autorizados e ferramentas para estudo técnico responsável.

[email protected] YouTube GitHub LinkedIn
Compartilhar

Enviar este artigo