Microsoft Exchange Server nulladik nap kihasználva keresztül kialakított e-mailben

A Microsoft megerősítette a CVE-2026-42897 aktív kihasználását, amely egy nulladik nap a helyben lévő Exchange Serverben, és amely lehetővé teszi a támadók számára, hogy tetszőleges JavaScriptet hajtsanak végre az áldozat böngészőjében egy szerkesztett e-mail küldésével. Nem létezik állandó javítás. A Microsoft május 14-én vészhelyzeti kárelhárító programot telepített, a CISA pedig másnap felvette a hibát az Ismert, kihasználatlan sebezhetőségek katalógusába, és a szövetségi ügynökségeket május 29-ig kötelezte a hiba elhárítására. Az Exchange Online nem érintett.

Mit tesz a CVE-2026-42897

CVE-2026-42897 a helyhez kötött Microsoft Exchange Server Outlook Web Access komponensében található, CVSS 8.1-es besorolású, helyközi szkriptelési hiba. A támadó speciálisan szerkesztett e-mailt küld a célpontnak. Amikor a címzett bizonyos interakciós feltételek mellett megnyitja az OWA-ban, tetszőleges JavaScript fut le a böngésző munkamenetben.

A Microsoft a sebezhetőséget spoofing-problémának minősíti, amely a weblapgenerálás során a nem megfelelő bemeneti semlegesítésben gyökerezik. A támadási útvonal nem igényel hitelesítést vagy kiszolgálóhoz való hozzáférést. Egy postaládával kezdődik.

Ki érintett

A hiba a helyben telepített Exchange Server 2016, Exchange Server 2019 és Exchange Server Subscription Edition rendszereket érinti bármely frissítési szinten. Az Exchange Online nem sebezhető.

Az on-prem Exchange áll a vállalati levelezés középpontjában a kormányzatok, pénzintézetek és a felhőbe nem költözött vállalatok számára. A CISA Known Exploited Vulnerabilities katalógusa már közel két tucat Exchange Server-hibát sorol fel, és a zsarolóvíruscsoportok ezek közül többel is visszaéltek, hogy betörjenek a célpontokba. A CVE-2026-42897 mindössze két nappal a májusi Patch Tuesday után érkezett, amely 120 sebezhetőséget foltozott be, de a kiadási megjegyzésekben nem közölt zéró napokat.

A hiba enyhítése

A Microsoft a Exchange Emergency Mitigation Service (Exchange vészhelyzeti kárenyhítési szolgáltatás) segítségével ideiglenes javítást telepítettaz EEMS automatikusan alkalmazza a kárenyhítést az URL átírási konfiguráción keresztül az Exchange Mailbox szervereken, ahol a szolgáltatás alapértelmezés szerint engedélyezve van. A rendszergazdák az állapotot az Exchange Health Checker szkript segítségével ellenőrizhetik az aka.ms/ExchangeHealthChecker címen.

Azokban a légtérzáras vagy lekapcsolt környezetekben, ahol az EEMS nem éri el a Microsoft kiszolgálóit, az adminisztrátoroknak manuálisan kell letölteniük a legújabb Exchange On-premises Mitigation Toolt, és egy emelt szintű Exchange Management Shell segítségével futtatniuk azt. A parancs egyetlen kiszolgálót céloz meg, vagy egyszerre futtatható a teljes Exchange-flottán.

Egy kozmetikai problémával kell tisztában lenni. Egyes kiszolgálókon a "Mitigation invalid for this exchange version" (A kárenyhítés állapota érvénytelen ehhez az Exchange-verzióhoz) szerepel a leírás mezőben. A Microsoft megerősíti, hogy a javítás ezekben az esetekben helyesen lett alkalmazva, ha a státusz oszlopban "Alkalmazva" szerepel. A megjelenített szöveg egy ismert kozmetikai hiba, amelynek vizsgálata folyamatban van.

A kárenyhítés mellékhatásai

A javítás alkalmazása funkcionális következményekkel jár. Az OWA nyomtatási naptár funkciója a hibaelhárítás alkalmazása után nem működik. Az Outlook Web Accessen belül a soron belüli képek már nem jelennek meg helyesen a címzettek olvasóablakaiban.

Az OWA Light, a /?layout=light végződésű URL-címen keresztül elérhető régi felület szintén nem működik a hibaelhárítás alkalmazása után. A Microsoft már évekkel ezelőtt elavultnak nyilvánította ezt a felületet, és nem tekinti gyártásra alkalmasnak, de a még mindig ezt használó szervezeteknek a szabványos OWA URL-en keresztül kell átirányítaniuk a felhasználókat.

Még nincs állandó javítás

A Microsoft állandó javítást dolgoz ki, és nem erősítette meg a kiadás ütemezését. Amint elérhető lesz, az Exchange Server Subscription Edition a szokásos frissítési csatornán keresztül kapja meg. Az Exchange Server 2016 és 2019 csak a Microsoft 2. periódusú kiterjesztett biztonsági frissítési programján keresztül kapja meg az állandó javítást.

Az ESU-regisztráció nélkül bármelyik régebbi verziót futtató szervezetek mindaddig védtelenek maradnak, amíg manuálisan nem alkalmazzák a vészhelyzeti kárenyhítést. A CISA május 15-én a CVE-2026-42897-et hozzáadta az Ismert Exploited Vulnerabilities katalógushoz, és a szövetségi polgári végrehajtó szerveknek május 29-ig kell javítaniuk. A Microsoft nem azonosította az aktív támadások mögött álló fenyegető szereplőket, és nem hozta nyilvánosságra, hogy a támadók mely szervezeteket vették célba.

A CVE-2026-42897 időzítése a sebezhetőségek életciklusának a proaktív felfedezéstől eltérő végén helyezkedik el. A Microsoft MDASH AI modellje nemrégiben 16 kritikus Windows-hibát azonosított, mielőtt a támadók elérhették volna azokat, egy olyan felderítési megközelítés, amelyet a CVE-2026-42897 teljesen megkerült.