Агентство по кибербезопасности и защите инфраструктуры США (CISA) 15 мая 2026 года пополнило свой каталог известных эксплуатируемых уязвимостей (KEV) новой записью. В список попала уязвимость CVE-2026-42897, затрагивающая почтовый сервер Microsoft Exchange. Самое тревожное в этой новости - факт активного использования бреши злоумышленниками в реальных атаках. Это означает, что защита от угрозы уже перестала быть теоретической задачей и превратилась в вопрос немедленного реагирования для тысяч организаций по всему миру.
Уязвимость CVE-2026-42897
Уязвимость с идентификатором CVE-2026-42897 была официально опубликована днём ранее, 14 мая. Однако уже к моменту публикации CISA получила доказательства её эксплуатации в реальных условиях - именно это и стало причиной столь быстрого внесения в каталог. Проблема относится к категории межсайтового скриптинга (cross-site scripting, XSS - тип атаки, при котором злоумышленник внедряет вредоносный код в веб-страницу). Иными словами, сервер Exchange некорректно обрабатывает входящие данные при генерации веб-интерфейса. Это позволяет неавторизованному нарушителю выполнить подмену (spoofing - имитация доверенного источника) через сеть.
По шкале CVSS брешь получила 8,1 балла из десяти возможных. Это высокая степень опасности. Вектор атаки выглядит следующим образом: злоумышленнику не нужны специальные привилегии для доступа к системе, а сама атака осуществляется удалённо через сеть. Единственное условие - необходимо заставить пользователя Exchange щёлкнуть по специально сформированной ссылке. После этого сценарий (вредоносный код) может похитить данные учётной записи, подменить содержимое письма или полностью скомпрометировать сессию. В результате возможна утечка как конфиденциальной переписки, так и данных, хранящихся в почтовом ящике.
Под удар попали все актуальные линейки корпоративного почтового решения Microsoft. В зоне риска оказались Exchange Server 2016 с накопительным обновлением CU23 (Cumulative Update - пакет накопительных исправлений), Exchange Server 2019 с версиями CU14 и CU15, а также новая редакция Subscription Edition в версии RTM (Release to Manufacturing - финальная сборка для производства). Все эти продукты работают на 64-разрядных системах x64. Таким образом, речь идёт о миллионах почтовых ящиков по всему миру, которые могут быть скомпрометированы.
Стоит отметить, что межсайтовый скриптинг - старая и хорошо изученная проблема в веб-приложениях. Однако именно в контексте Exchange Server она приобретает особую опасность. Почтовый сервер - это центральный узел корпоративной инфраструктуры. Через него проходят служебные документы, финансовая отчётность, персональные данные сотрудников и клиентов. Компрометация одного почтового ящика может привести к цепной реакции: злоумышленник получает доступ к вложениям, контактам, календарям и, главное - к возможности отправлять письма от имени скомпрометированного сотрудника. Именно такая техника часто используется в кампаниях программ-вымогателей (ransomware) и целенаправленных APT-атаках (Advanced Persistent Threat - сложная целевая атака с длительным скрытым присутствием).
Эксперты CISA настоятельно рекомендуют всем администраторам Exchange Server немедленно проверить версии своих серверов и установить обновления безопасности. На данный момент Microsoft уже выпустила соответствующий патч, однако точные сроки его включения в автоматические обновления остаются неизвестными. В связи с этим организациям следует действовать на опережение. На практике это означает, что нужно вручную проверить, не используете ли вы одну из перечисленных уязвимых сборок, и применить исправление вне очереди. Кроме того, специалистам по информационной безопасности стоит усилить мониторинг сетевого трафика на предмет подозрительных запросов к веб-интерфейсу Exchange. Внедрение систем обнаружения вторжений (IDS) и правильная настройка межсетевых экранов могут снизить риск эксплуатации данной уязвимости даже до установки патча.
Отдельного внимания заслуживает тот факт, что CISA включила CVE-2026-42897 в свой каталог KEV не просто так. Это своего рода государственный сигнал тревоги. Агентство ведёт этот перечень именно для того, чтобы информировать федеральные гражданские ведомства, а также коммерческие организации о тех уязвимостях, которые уже активно используются в атаках.
История показывает, что уязвимости в Microsoft Exchange часто становятся целью массовых атак. Достаточно вспомнить цепочку уязвимостей ProxyLogon и ProxyShell, которые в 2021 и 2022 годах поразили сотни тысяч серверов по всему миру. Тогда ущерб исчислялся миллиардами долларов, а многие компании так и не смогли полностью восстановить свои данные. Новая находка CVE-2026-42897 не столь масштабна по потенциалу разрушений, но её главная опасность в другом - она является промежуточным шагом. Злоумышленники могут использовать её для начального проникновения в сеть, после чего закрепиться в системе и перейти к более серьёзным действиям: краже баз данных, шифрованию файлов или шпионажу.
В сложившейся ситуации ключевая рекомендация специалистам проста и сурова: не откладывайте установку обновлений. Если у вас нет возможности применить патч немедленно, временной мерой может стать ограничение доступа к веб-интерфейсу Exchange только с доверенных IP-адресов и отключение ненужных компонентов. Однако это лишь отсрочка, а не решение проблемы. Полная защита возможна только при установке официального исправления от Microsoft. Администраторам стоит также проверить логи почтового сервера на предмет необычных запросов, содержащих скрипты или нестандартные символы. Если вы обнаружите следы компрометации, необходимо немедленно провести расследование инцидента и, возможно, привлечь специализированную команду для реагирования на кибератаки.
Резюмируя: CISA сделала свою работу, предупредив сообщество об активной эксплуатации опасной уязвимости. Теперь слово за системными администраторами и директорами по информационной безопасности. У них есть выбор - либо потратить несколько часов на установку патча, либо рискнуть столкнуться с последствиями атаки, которые могут обернуться многодневным простоем и утечкой данных. Выбор, казалось бы, очевиден, но, как показывает практика, многие организации всё равно откладывают обновления до последнего. Возможно, именно эта новость станет для них последним звонком.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42897
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897
- https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog
