Microsoft предупреждает об атаках на уязвимость нулевого дня в Exchange Server
Специалисты Microsoft предупредили об атаках на новую zero-day уязвимость в Exchange Server, получившую идентификатор CVE-2026-42897. Проблема затрагивает Exchange Server 2016, 2019 и Subscription Edition (SE). Пока полноценного патча нет, в компании предлагают использовать временные защитные меры и рекомендуют администраторам срочно включить Exchange Emergency Mitigation Service (EEMS).
Согласно опубликованному Microsoft описанию проблемы, баг связан с XSS и спуфингом в Outlook Web Access (OWA). Для эксплуатации атакующему достаточно отправить жертве специально подготовленное письмо. Если пользователь откроет его через веб-интерфейс Outlook и выполнится ряд условий взаимодействия, в контексте браузера может быть выполнен произвольный JavaScript-код.
В компании подчеркивают, что уязвимость уже используется в реальных атаках, хотя никаких технических деталей об этих инцидентах пока не раскрывается. Также неизвестно, кто стоит за эксплуатацией бага. Сообщается лишь, что исходно проблему обнаружил анонимный исследователь.
В качестве временной защиты Microsoft предлагает использовать EEMS — сервис экстренных защитных мер для локальных Exchange-серверов. Эта функциональность появилась еще в 2021 году после массовых атак с эксплуатацией уязвимостей ProxyLogon и ProxyShell, когда хак-группы взламывали доступные через интернет Exchange-серверы до выхода патчей. Сервис автоматически применяет временные защитные меры для критических уязвимостей и работает как Windows-служба на Exchange Mailbox-серверах.
При этом в Microsoft отдельно предупреждают, что временные исправления могут вызывать побочные эффекты. Например, в OWA может перестать нормально работать функция Print Calendar, а встроенные изображения в письмах могут отображаться некорректно. Также может сломаться признанный устаревшим режим OWA Light.
Для изолированных сред компания советует использовать Exchange On-premises Mitigation Tool (EOMT) и вручную применять защиту через Exchange Management Shell.
Полноценные патчи для Exchange SE RTM, Exchange 2016 CU23 и Exchange 2019 CU14/CU15 разработчики обещают выпустить позже. Однако обновления для Exchange 2016 и 2019 получат только организации, подключенные к программе Extended Security Updates (ESU).
Выше находится текст новости (текст взят отсюда: https://xakep.ru/2026/05/18/exchange-0day/). Достаточно интересной новости, надо сказать, в формате существования такой проблемы, потому что речь идёт не о какой-то регулярной простой ошибке, а об очень серьёзной уязвимости, позволяющей атакующему широко использовать возможности, получаемые за счёт её использования.
Однако, поговорить хотелось бы не столько об этом . Ну, мелкомягие это маленькая инди контора, кого, в самом деле, может удивить наличие критической уязвимости в одном из их самых важных и популярных сервисов. Заинтересовала и обратила внимание на себя скорее вот эта маленькая деталь: однако обновления для Exchange 2016 и 2019 получат только организации, подключенные к программе Extended Security Updates (ESU).
Занимательна она потому что Exchange 2016 до сих пор используется очень много где в силу своей стабильности, определенного удобства и удачных решений. Конечно, в ряде случаев это происходит потому что компании не хотят тратить деньги на новую структуру, но их тоже можно понять: работает -- не трогай.
Теперь же мы дошли до новой ступени развития идей подписки и желания компаний заработать на чём угодно: до подписок на продолжение обслуживания ранее легально приобретенных по полной стоимости продуктов. И, казалось бы, в этом есть рациональное зерно: продукт постепенно устаревает, замещается аналогичным продуктом "следующего поколения", после чего устаревший выводится из под обслуживания. Проблема тут в нескольких деталях: во-первых, это искусственное устаревание, то есть, корпорация сама решает, когда и зачем объявить продукт устаревшим и "прекратить поддержку", а во-вторых, если вы прекращаете поддержку, но готовы сохранить её для тех, кто платит ещё денег, к тому же предварительно уже оплатив полную стоимость ПО...
Понятно, что при желании это можно оправдать и найти причины. Но исправлять собственную критическую уязвимость только в адрес тех, кто готов платить еще денег за то, что уже было оплачено -- дорога в один конец. Это всё было достаточно предсказуемо еще на этапе развития подписочных сервисов, однако наблюдать это воочию все равно достаточно печально.