CVE-2026-42897: Microsoft alerta para falha zero-day crítica no Exchange Server

· Fonte: Sempre Update

A Microsoft confirmou a exploração ativa da vulnerabilidade CVE-2026-42897 no Exchange Server, colocando administradores e equipes de segurança em estado de alerta. A falha, classificada como zero-day, já está sendo utilizada em ataques reais antes mesmo da disponibilização de um patch definitivo.

O problema afeta ambientes locais do Exchange Server e permite ataques envolvendo Outlook Web Access (OWA) por meio de uma vulnerabilidade de Cross-Site Scripting (XSS). Segundo a empresa, criminosos podem usar códigos JavaScript maliciosos para roubar sessões autenticadas, acessar dados corporativos e potencialmente executar ações remotas dentro do ambiente comprometido.

A situação é considerada crítica porque ainda não existe uma atualização final de segurança para corrigir totalmente o problema. Até o momento, a Microsoft disponibilizou apenas medidas temporárias de mitigação utilizando o Exchange Emergency Mitigation Service (EEMS) e scripts de emergência para administradores que operam servidores isolados da internet.

Entenda a vulnerabilidade CVE-2026-42897

A falha CVE-2026-42897 explora uma vulnerabilidade de XSS presente no componente Outlook Web Access (OWA) do Exchange Server. Em termos práticos, o ataque pode começar com o envio de um e-mail especialmente criado contendo conteúdo malicioso incorporado.

Quando o usuário acessa a mensagem pelo navegador via OWA, o código JavaScript é executado no contexto da sessão autenticada da vítima. Isso permite que invasores capturem cookies de autenticação, tokens de sessão e outras informações sensíveis.

Dependendo das permissões da conta comprometida, os atacantes podem:

  • Ler e-mails corporativos
  • Capturar credenciais
  • Movimentar-se lateralmente na rede
  • Executar ações administrativas
  • Implantar malware adicional
  • Realizar espionagem corporativa

O ponto mais preocupante é que o ataque pode ocorrer sem interação avançada da vítima além da visualização do e-mail no ambiente web.

As versões afetadas incluem:

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition (SE)

Ambientes híbridos também podem ser impactados caso utilizem instâncias locais expostas à internet.

Microsoft Exchange
Imagem: Bleeping Computer

Como a exploração está acontecendo

Pesquisadores de segurança relataram campanhas ativas explorando a CVE-2026-42897 principalmente contra empresas que mantêm servidores locais do Exchange Server acessíveis publicamente.

Os criminosos utilizam mensagens de phishing direcionadas contendo cargas maliciosas capazes de explorar a falha no OWA. Em muitos casos, o objetivo inicial é o roubo silencioso de credenciais corporativas.

Após obter acesso válido, os invasores conseguem ampliar a intrusão utilizando ferramentas legítimas do próprio ambiente Windows, dificultando a detecção por antivírus tradicionais.

Especialistas alertam que servidores de e-mail continuam sendo um dos alvos preferidos de grupos de ransomware e espionagem digital devido ao enorme volume de informações estratégicas armazenadas.

Como mitigar o problema imediatamente

A principal recomendação da Microsoft é habilitar e verificar o funcionamento do Exchange Emergency Mitigation Service (EEMS).

O EEMS foi criado justamente para responder rapidamente a vulnerabilidades críticas sem exigir uma atualização completa do servidor. O serviço aplica mitigações automáticas distribuídas pela própria Microsoft.

Administradores podem verificar o status do serviço com PowerShell:

Get-Service MSExchangeMitigation

Para servidores conectados à internet, a empresa recomenda manter o serviço ativo e garantir que o ambiente consiga receber automaticamente as mitigações emergenciais.

Além disso, a Microsoft orienta restringir o acesso externo ao OWA sempre que possível até a chegada da correção definitiva.

Mitigação para ambientes offline

Empresas que operam ambientes isolados ou sem acesso direto à internet precisam aplicar manualmente as medidas temporárias utilizando o script EOMT.ps1.

O script pode ser utilizado para aplicar mitigações emergenciais e verificar indicadores de comprometimento.

Exemplo básico:

.\EOMT.ps1

Administradores também devem:

  • Monitorar logs do IIS
  • Revisar atividades suspeitas em contas privilegiadas
  • Verificar criação incomum de regras de encaminhamento
  • Habilitar autenticação multifator (MFA)
  • Restringir acesso administrativo externo

Outra recomendação importante é revisar imediatamente servidores publicados diretamente na internet sem VPN ou camadas adicionais de proteção.

Efeitos colaterais: o que quebra com a mitigação?

Embora as medidas emergenciais sejam necessárias, a própria Microsoft admite que algumas funcionalidades do Exchange Server podem ser impactadas temporariamente.

Entre os principais efeitos colaterais relatados estão problemas na renderização de imagens incorporadas em mensagens e falhas relacionadas à impressão de calendários via interface web.

Administradores também observaram dificuldades em recursos específicos do OWA após a aplicação das regras de mitigação.

Outro impacto importante envolve o encerramento definitivo do OWA Light, versão simplificada da interface web utilizada principalmente em navegadores antigos e conexões limitadas.

Segundo especialistas, muitas organizações ainda dependiam desse modo legado em ambientes industriais ou sistemas corporativos antigos. Com o fim do suporte, essas empresas precisarão acelerar processos de modernização da infraestrutura.

Apesar dos inconvenientes operacionais, especialistas em segurança reforçam que o risco de exploração ativa supera amplamente os problemas temporários de compatibilidade.

Por que o Exchange Server continua sendo alvo constante?

O Exchange Server permanece como um dos sistemas corporativos mais atacados do mundo devido à sua importância estratégica dentro das empresas.

Servidores de e-mail concentram:

  • Credenciais corporativas
  • Dados confidenciais
  • Conversas executivas
  • Informações financeiras
  • Documentos internos
  • Integrações com Active Directory

Além disso, muitos ambientes locais ainda operam versões antigas ou com atualizações atrasadas, criando superfícies de ataque amplamente exploradas por grupos criminosos.

Nos últimos anos, campanhas envolvendo ransomware, espionagem estatal e roubo de credenciais exploraram sucessivas vulnerabilidades críticas no ecossistema do Exchange Server.

A nova CVE-2026-42897 reforça o desafio crescente enfrentado por empresas que mantêm infraestrutura on-premise sem estratégias contínuas de atualização e segmentação de rede.

Conclusão e o futuro do Exchange

A descoberta da CVE-2026-42897 mostra novamente como servidores locais continuam expostos a ameaças sofisticadas e ataques rápidos explorando falhas zero-day.

Embora a resposta emergencial da Microsoft com o EEMS ajude a reduzir riscos imediatos, a ausência de um patch definitivo aumenta a pressão sobre administradores e equipes de segurança.

O cenário também reacende o debate sobre custos operacionais e riscos de manter servidores locais em comparação com serviços em nuvem.

Empresas que pretendem continuar utilizando versões locais do Exchange Server precisarão investir cada vez mais em monitoramento contínuo, segmentação de acesso e programas de atualizações estendidas, incluindo os chamados Extended Security Updates (ESU).

Até que uma correção oficial seja disponibilizada, a recomendação é tratar qualquer instância exposta do OWA como potencialmente vulnerável.