Zero-day crítico no Exchange Server é explorado ativamente — sem patch definitivo disponível

Lead

A Microsoft confirmou a exploração ativa de uma vulnerabilidade zero-day no Exchange Server — rastreada como CVE-2026-42897 — que permite a atacantes executar código JavaScript arbitrário no navegador de vítimas por meio de e-mails especialmente elaborados. Classificada com pontuação CVSS de 8.1 e ainda sem patch definitivo disponível, a falha já figura no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, com o prazo de mitigação para agências federais americanas encerrado exatamente em 29 de maio de 2026.

A falha e seu mecanismo

A vulnerabilidade afeta exclusivamente instalações on-premises do Exchange Server nas versões 2016, 2019 e Subscription Edition (SE) — o Exchange Online não é impactado. O vetor de ataque combina engenharia social e uma falha de neutralização inadequada de entrada durante a geração de páginas web: um agente malicioso envia uma mensagem cuidadosamente construída para o alvo; ao abri-la pelo Outlook Web Access (OWA) e satisfeitas certas condições de interação, o JavaScript embutido é executado no contexto do navegador do usuário sem qualquer aviso. A partir desse ponto de entrada, o invasor pode sequestrar sessões autenticadas, capturar credenciais, exfiltrar o conteúdo de caixas postais, realizar movimentos laterais na infraestrutura corporativa e até implantar malware de forma persistente.

Mitigações emergenciais disponíveis

Diante da inexistência de um patch oficial, a Microsoft disponibilizou duas vias de contenção temporária. A principal é o Exchange Emergency Mitigation Service (EEMS), habilitado por padrão nos servidores afetados, que aplica automaticamente uma reescrita de URL destinada a bloquear o vetor de exploração conhecido. Para ambientes isolados que não se conectam ao serviço online da Microsoft, a alternativa é o Exchange On-premises Mitigation Tool (EOMT), acionado via script PowerShell com o comando .\ EOMT.ps1 -CVE "CVE-2026-42897". Administradores que gerenciam múltiplos servidores podem executar o script de forma encadeada via Get-ExchangeServer. A empresa alerta, contudo, que ambas as mitigações introduzem efeitos colaterais operacionais: a impressão de calendários pode falhar, imagens inline no OWA podem deixar de ser exibidas corretamente e o modo OWA Light é desativado.

Urgência regulatória e recomendações

A inclusão da CVE-2026-42897 no catálogo KEV da CISA, ocorrida em 15 de maio de 2026, sinalizou a gravidade da ameaça para o setor público. O órgão determinou que todas as agências federais americanas aplicassem as mitigações até 29 de maio — prazo encerrado na data de publicação deste artigo. A pressão regulatória reflete o cenário observado em campo: pesquisadores de segurança identificaram campanhas de phishing direcionadas a organizações com servidores Exchange expostos publicamente, confirmando que a falha é explorada ativamente por agentes de ameaça. Organizações que dependem do Exchange on-premises devem agir com urgência: verificar se o EEMS está ativo, aplicar o EOMT em ambientes isolados, habilitar autenticação multifator, restringir o acesso externo ao OWA onde possível e monitorar logs do IIS em busca de atividade anômala — tudo isso enquanto aguardam o patch permanente que a Microsoft prometeu lançar para as versões suportadas, mas ainda sem data confirmada.

Fonte original: SempreUpdate — CVE-2026-42897: Falha zero-day no Exchange Server. Corroborado por SecurityWeek, BleepingComputer, The Hacker News e SecurityAffairs.